Como ser um verdadeiro profissional de segurança - Mantenha segura as chaves privadas

  por msft-mmpc 

 

Uma das muitas características incomuns do Stuxnet malware que foi descoberto em 2010 foi que seus arquivos são distribuídos com uma assinatura digital criado usando as credenciais de autenticação pertencentes a duas empresas de software não relacionadas legítimo, válido. Normalmente, a empresa iria verificar que o programa foi emitido pela empresa no certificado de assinatura e que os consentimentos do programa não foram alterados desde a sua assinatura. Quando você usar as credenciais para autenticação de outras empresas para assinar seus próprios arquivos, distribuidores de malware podem parecer que os arquivos provenientes de uma fonte mais confiável.

Desde então, é relativamente raro encontrar malware assinado com credenciais mal fixadas ou roubadas. Assinar certificados de pago e obtidos diretamente com a autoridade de certificação (CA CA) códigos são usados pela maioria dos malwares assinado digitalmente. Estes CAs não teria nenhum conhecimento que os certificados podem ser usados para fins maliciosos. Por exemplo, recentemente, o família antivírus falso Rogue: Rogue:Win32/FakePav novamente após ficar parado por mais de um ano. Antes do período de inatividade, executáveis de FakePav não ser assinado digitalmente, mas sim suas novas variantes. Depois de alguns dias usando um único certificado, FakePav mudou-se para um certificado diferente, emitido no nome do mesmo, como o anterior, mas por uma CA diferente.

No entanto, já que faz pouco mais do que no mês passado, o uso de certificados roubados tornou mais comum. Em particular, Rogue: Rogue:Win32/Winwebsec , outro  culpado que se intitula antivírus profissional de segurança (Security Antivirus Pro), foi distribuída assinado com credenciais roubadas de desenvolvedores de software diferente de pelo menos uma dúzia

 

Figura 1: Segurança antivírus Pro user interface

Uma família relacionada, TrojanSpy:Win32/Ursnif também foi distribuída com arquivos assinados usando credenciais roubadas. Temos observado Winwebsec download Ursnif, um cavalo de Tróia que monitora tráfego de web, e rouba informações confidenciais, inclusive senhas. As variantes de Ursnif anteriores também foram capazes de roubar certificados e chaves privadas, mas essa funcionalidade parece não estar presente nas versões mais recentes. Em vez disso, ela parece ter sido adicionado à certas amostras de PWS:Win32/Fareit.

Figura 2: Fareit rouba certificados

PWS:Win32/Fareit É um cavalo de Tróia que rouba senhas, principalmente desde o momento em que o usuário cliente FTP, mas às vezes também os downloads e instala outros tipos de malware, como Winwebsec e Win32/Sirefef.

Figura 3: Relacionamento e interações entre Fareit, Sirefef, Winwebsec, e Ursnif famílias

Os certificados roubados foram emitidos por um número de diferentes de CAs para os desenvolvedores de software em vários locais ao redor do mundo. A tabela abaixo mostra os detalhes de alguns dos certificados utilizados para assinar amostras de  Winwebsec . Note-se que o na coluna de amostras os números de certicados assinados digitalmente Winwebsec amostras que temos uma cópia do - pode haver muitas outras amostras que não recebemos. Mas, isso dá uma idéia da magnitude do problema. Curiosamente, um desses certificados foi emitido apenas três dias antes começamos a ver amostras de malware assinado com ele, o que sugere que o malware, os distribuidores estão regularmente roubando novos certificados, em vez de usar certificados de um antigo arsenal.

Figura 4: certificados usados para assinar Rogue:Win32/Winwebsec amostras

Para aqueles de vocês que são os desenvolvedores de software, a Microsoft tem a document that describes the best practices for code-signing. Embora esse documento foi escrito em 2007 e contém algumas referências para ferramentas do sistema operacional que já alterado, todas as recomendações dos procedimentos adequados de segurança para obter e armazenar código de assinatura dos certificados e chaves privadas, e para assinar digitalmente o seu software, continuam a ser tão relevantes como nunca.

Assim como é importante para manter a sua casa e as chaves do carro seguro, protegendo o seu código de assinatura chaves privadas é fundamental. Não só é inconveniente, e muitas vezes caro, para ter o certificado substituído, também pode resultar em perda de reputação da sua empresa se ele for usado para assinar malware. O documento recomenda manter as chaves privadas fisicamente seguro, armazenando-os em um bem-guardados dispositivo de hardware, como um cartão inteligente, token USB ou módulo de segurança de hardware. Certamente, nenhum sistema utilizado para armazenar o código de assinatura as credenciais devem ser sempre utilizados para navegação na web, e é vital que esses sistemas sejam executados regularmente, uma solução antivírus atualizado, e que qualquer arquivo que você assinar foi digitalizado para uma possível infecção por vírus previamente.

Se o sistema que você usa para assinatura tem sido infectados com o Win 32/Fareit ou outros tipos de malware, e achar que o chaves privadas têm sido comprometido, você deve entrar em contato com o CA que emitiu as credenciais imediatamente.

David Wood
MMPC 

SHA1s:

D330699f28a295c42b7e3b4a127c79dfed3c34f1 (PWS:Win32/Fareit com certificado roubar capacidade)
006C4857c6004b0fcbb185660e6510e1fev0a7a3 (assinado digitalmente Winwebsec)