На чёрном рынке продают валидные сертификаты подписи исполняемого кода для обхода антивирусов

    Сертификаты подписи кода уже несколько лет используются злоумышленниками для вредоносных программ. Ещё в 2010 году исследователи обратили внимание на образцы зловредов с сертификатами, скопированными из «чистых» файлов. Естественно, такая подпись кода не проходила проверку Authenticode (см. презентацию F-Secure на конференции CARO 2010).



    Очередной ласточкой стал в 2011 году «правительственный» зловред Stuxnet. Он использовал четыре 0day-уязвимости в Windows, чтобы распространиться и получить права администратора, и был подписан настоящими сертификатами, украденными у Realtek и JMicron. Зловред устанавливался в систему как драйвер Microsoft.



    Потом появились другие примеры, а примерно с 2015 года заработал полноценный чёрный рынок валидных сертификатов от авторитетных удостоверяющих центров (УЦ). Такие сертификаты продаются на подпольных форумах вроде российского Antichat.

    Есть распространённое мнение, что сертификаты безопасности на чёрном рынке украдены у реальных владельцев. Это не так. Их действительно выдают настоящие УЦ.

    Специалисты по безопасности из группы Insikt Group компании Recorded Future изучили подпольный рынок сертификатов — и опубликовали отчёт (pdf) с результатами исследования. По их мнению, с высокой степенью уверенности можно утверждать, что сейчас сертификаты для чёрного рынка создаются специально для конкретного заказчика под заказ. Они регистрируются на настоящие компании. По всей вероятности, эти компании не подозревают, что от их имени происходят такие регистрации. Хотя в некоторых случаях можно предположить факт преступного сговора (например, подкуп сотрудников).

    Это вполне валидные, законные сертификаты на настоящие компании, выданные серьёзными УЦ. Подобная тактика оказалась чрезвычайно эффективной для распространения вредоносных программ, пишут авторы отчёта.

    Одной из первых «чёрные» сертификаты начала продавать хакерская группа C@T. В марте 2015 года на известном российском форуме Antichat она предлагала сертификаты Microsoft Authenticode для подписи 32- и 64-битных исполняемых файлов. Они также позволяют подписывать код для Microsoft Office, Microsoft VBA, Netscape Object Signing и Marimba Channel Signing, приложения на Silverlight 4.


    Формат подписанного исполняемого файла PE

    В рекламном объявлении хакерская группа указывала, что сертификаты выданы центрами Comodo, Thawte и Symantec на настоящие корпорации. Каждый сертификат уникален и его обещали продавать только одному покупателю. Кроме того, предлагались сертификаты для подписи кода от Apple.



    «В мире Apple вы не можете запустить на выполнение программу с неподписанным кодом, хотя есть много способов обойти эту проверку, — говорит Амит Серпер (Amit Serper), ведущий специалист по безопасности в Cybereason, эксперт по зловредам для Mac. — Чтобы подписать программу, вам нужно настроить учётную запись разработчика, заплатить Apple $99 и объяснить, зачем необходим сертификат. Поскольку цель Apple — заработать деньги и привлечь больше участников на свою платформу для разработчиков, то получить сертификат невероятно просто. Многие вредоносные программы и adware для Mac подписаны законными сертификатами, предоставленными Apple».

    По заявлениям C@T, подпись кода таким сертификатом повышает процент успешных установок малвари на 30−50%. Хакеры также сказали, что за последние полгода уже продали более 60-ти сертификатов. Это неплохой результат, учитывая высокую стоимость: три года назад «чёрные» сертификаты стоили более $1000.

    В 2016 года на форумах появились ещё два продавца сертификатов, а в мае 2017 года к ним присоединился третий. Все три продолжают активность до сих пор. Первый из них работает для русскоязычных клиентов (рекламируется на местных форумах), второй специализируется на сертификатах PKI Class 3 по цене $600, а вот третий предлагает самый широкий ассортимент.



    Самые дешёвые — стандартные сертификаты для подписи кода, выданные Comodo, без рейтинга репутации SmartScreen, продаются за $295. Самые дорогие — EV-сертификаты от Symantec с рейтингом SmartScreen за $1599.

    Отдельно продаются сертификаты EV SSL: от $349 на один домен. Если покупать вместе сертификат для подписи кода и EV SSL, это будет стоить $1799.

    Насколько эффективны такие сертификаты?


    Специалисты Insikt Group убедили одного из продавцов «чёрных» сертификатов на форуме провести испытание. Они получили исходник с новым трояном RAT, которого нет в антивирусных базах. Файлы предварительно зашифровали, а потом подписали свежим сертификатом от Comodo.

    Так вот, среди всех антивирусных движков сканера VirusTotal восемь распознали зашифрованный зловред без подписи, и только два — с подписью Comodo.





    Ещё более тревожные результаты получены при проверке нерезидентной версии трояна. В этом случае шесть антивирусов распознали угрозу в файле без подписи, и только один — в файле с подписью.





    Специалисты предупреждают, что использование валидных сертификатов и шифрования SSL/TLS-трафика в будущем может затруднить антивирусную защиту методом глубокой инспекции пакетов. С другой стороны, «чёрные» сертификаты до сих пор довольно дороги, так что не каждый хакер может позволить себе покупать новые сертификаты после отзыва старых. Скорее всего, такие сертификаты — как для подписи кода, так и для SSL — будут использовать главным образом для промышленного шпионажа и киберопераций спецслужб разных стран, как в случае со Stuxnet.

    Информацию о стандартных и расширенных сертификатах для подписи кода от удостоверяющего центра GlobalSign, совместимых с большинством платформ, вы можете найти на официальном сайте компании.



    АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК
    Защитите все субдомены одним сертификатом!

    Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!
    Промо-код: WC001HRFR

    Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.

    Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте с указанием промо-кода.
    GlobalSign 209,37
    Компания
    Поделиться публикацией
    Комментарии 52
    • +1
      Что-то я не совсем понял. Поправьте, если не прав.
      Сертификат это подтверждение удостоверяющего центра, что ОТКРЫТЫЙ ключ принадлежит какому-то конкретному лицу (сайту, организации). Сертификат можно (и нужно) невозбранно распространять среди всех желающих.
      И от сертификата нет никакой пользы без СЕКРЕТНОГО ключа.
      В чем смысл продавать сертификаты? Или продавали сертификаты с секретными ключами?
      • +6

        Имеется ввиду выпуск сертификата (открытый и секретный ключ) для чужого приложения или домена.

      • +5
        Самые дешёвые — стандартные сертификаты для подписи кода, выданные Comodo, без рейтинга репутации SmartScreen, продаются за $295. Самые дорогие — EV-сертификаты от Symantec с рейтингом SmartScreen за $1599.

        Symantec уже лишились бизнеса из-за раздолбайства при валидации клиентов, теперь очередь за Comodo?
        • 0

          Права выпускать EV сертификаты Symantec никто не лишал и лишать не собирался. Чтобы там Гугл не придумал но оси мелкомягких доверяют и будут доверять подписанным Symantec EV ибо уже есть 10500 им подписанным

          • 0

            Вот только делать это будет уже DigiCert, а что MS закрывает глаза на косяки "партнёров" давно известно.

        • 0
          а в чем дороговизна?
          очередной вымогатель шифруешь+подписываешь вот и окупилось 2к$
          или там ценообразование иное?
          • –1
            А я правильно понимаю, что выдавать «левые» сертификаты могут двумя путями
            1. кто-то из работников центра подрабатывает сверхурочно
            2. утек корневой сертификат
            (3). В алгоритме есть дырка или это все делают пришельцы на квантовом компьютере, но такие версии мы не рассматриваем.
            • +1
              Какой нибудь сотрудник аутсорсера имея доступ к документам умудрился наклепать запросов. Т.е. есть запрос, есть оплата какая нибудь, контора реальная. А центр просто клепает сертификаты как пирожки.
            • +2
              т.е. скорее №1 — дырка в процессах.
              • +9
                Мне больше интересно не откуда взялись сертификаты, а почему в тестах реагируют только какие-то маргинальные антивирусы.
                • +5

                  Если кто-то пишет новый троян, а потом его еще и зашифровывает, то скорее надо задаваться вопросом, почему антивирус вообще на получившийся результат реагирует (вероятнее всего, он реагирует на всё, что шевелится, с кучей false positive).


                  А что известные антивирусы не реагируют, совершенно понятно — сигнатур в базах нет, никакого поведения, по которому можно было бы определить что-то подозрительное, у зашифрованного лежащего на диске файла тоже нет. :)

                  • +2
                    почему антивирус вообще на получившийся результат реагирует

                    Ответ содержится в вопросе
                    зашифровывает

                    никакого поведения, по которому можно было бы определить что-то подозрительное, у зашифрованного лежащего на диске файла тоже нет

                    Современные антивирусы как бы имеют свои песочницы, в которых запускают проверяемый код.
                    • +2
                      После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создаёт копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешённое поведение. В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведёт себя скучно.
                      • +1

                        Вы это серьезно? :/

                      • +1
                        А современные вредоносные программы эти песочницы распознают.

                        Но даже дело не в этом. На приведенных скринах — результаты вирустотала, то есть результаты анализа на знание вредоносной программы антивирусными базами, без запуска и последующего анализа
                    • +2
                      А почему никто не интересуется, почему не отрабатывает стандартная процедура отзыва сертификата? По нашим данным из топа VirusTotal более 18тыс файлов имеют валидную подпись от Symantec, а сертификат до сих пор не отозван. Речь идёт о месяцах не отзыва таких сертификатов.
                      PS: «Маргинальные антивирусы»(AV NG) работают на основе статистических движков(ML,DL) и только они могут принципиально детектировать и блокировать новые сэмплы без добавления сигнатуры сэмпла малвари в базу.
                      • 0
                        А почему никто не интересуется, почему не отрабатывает стандартная процедура отзыва сертификата? По нашим данным из топа VirusTotal более 18тыс файлов имеют валидную подпись от Symantec, а сертификат до сих пор не отозван.

                        А кто его должен отозвать и по какой причине?

                    • 0

                      После такого кто-то считает невозможной подделку https трафика?

                      • 0
                        Невозможно это сильное слово. Конечно возможно. Но обрати внимание, что даже в списке этих услуг нет выпуска сертификата на произвольный сайт, ни за какие деньги.
                        • 0

                          Есть. EV SSL за 349 это как раз сертификат для домена.

                          • +1
                            Для домена, которым владеешь ты, а не кто-то.
                            • +4

                              В чем смысл им продавать, а кому то покупать сертификат на домен, которым человек и так владеет?

                              • 0

                                В том, что это не Domain-Validated сертификат, а значит — его выпуск требует не только владения доменом, а еще, например, юрлица.

                              • +1
                                Нет, не ты, просто проверенная удостоверяющим центром организация. Но продаются сертификаты не любых организаций, а только те, что есть украденные.
                        • +1
                          Во первых, не кто-то, когда-то зарегистрировал что-то. Там четко написано 3-5 рабочих дней на исполнение. То есть, это делается под конкретного заказчика. Во вторых, если без сертификатов никак нельзя, то возможно, создав по 1 центру в каждой стране, например, и один мировой и выдавать.
                          • +3
                            Печально, что подпись вообще влияет на детект.
                            Симантэк давно пора скорить в минус.
                            С поведенческим анализом всё по-прежнему плохо.
                            Батюшка к-ский чегой-то и вовсе за кадром облажался остался.
                            • 0
                              Потому что есть такие категории как golden image. К тому, что имеет подписанный бинарь доверия априори больше. Плюс, упомянутые вами ML методы, для которых наличие подписи тоже может учитываться как одна из feature. Плюс во многих enterprise av есть автокатегоризация, которая, в зависимости от настроек, может поместить приложение с подписью в группу с меньшими ограничениями по проверке. Никто не будет скорить симантек в минус, это самоубийство в ав тестах, вы представляете сколько коммерческого софта им подписано?
                              • 0
                                Перичитал комментарий, уточню иммел в виду не то что много софта подписано сертификатами Symantec, а то, что много сертификатов других софтверных компаний, которыми, в свою очередь, они подписывают свой софт.
                            • +2
                              Мне кажется, это какой-то надуманный бум по причине низкой грамотности населения в области компьютерной безопасности. Сертификат удостоверяет только то, что код программы не был модифицирован по пути. А вопрос доверия к разработчику никоим образом не меняется от наличия сертификата. И так понятно, что нас окружают жулики.
                              • 0
                                Но ведь «найти концы» не сложно, и распутать кто (какое конкретно лицо) запросил сертификат не инопланетные технологии. Но раз никто концов не ищет (а истрия длится, судя по публикации, с 2011 года), а бизнес только расширяется — значит это такой специальный план.
                                • 0
                                  Объясните мне убогому почему вообще антивирусы считают подписанный код заведомо не зловредным (ну или же уровень доверия безмерно повышается)? Что вообще мешает Васе Пупкину пойти и законно получить себе сертификат, а потом клепать зловреды и подписывать их этой законной подписью? Боязнь, что его быстро вычислят по этой подписи? Да полноте. Помнится на заре появления блокираторов и шифровальщиков бабло просили кидать прямо на мобилу. Вычислить по ней получателя дело техники. Однако органам было пофиг (по крайней мере в РФ). Это во-первых. Во-вторых антивирус должен прежде всего защитить машину в любом случае. И не важно оставил ли автор зловреда следы или нет. Даже если в зловреде будет открытым текстом написаны ФИО автора и его домашний адрес, что теперь от такого зловреда не надо машину защищать? Бред какой-то.
                                  Лично сталкивался со зловредом подписанным сертификатом от Comodo. И это был не эксклюзивный промышленный шпион, а таки обычный массовый зловред. Ноль срабатываний на virustotal. Отправил его на исследование Касперскому, так на протяжении месяца так и не начал определяться (потом стёр его и забил).
                                  Такое чувство, что в антивирусных движках прям код такой «Если есть валидная ЦП, то пропускать проверку».
                                  А меж тем, как уже заметили в комментариях, ЦС выдают левые сертификаты направо и налево и система отзыва по факту не работает. Просто супер!
                                  • 0
                                    «Объясните мне убогому почему вообще антивирусы считают подписанный код заведомо не зловредным»
                                    Потому что раньше подпись косвенно означала, что у выпустившего есть бабло на выпуск сертификата и он подвердил свою личность, как правило малварописатели таким не заморачивались, поэтому можно производить меньше проверок в рантайме в настройках по-умолчанию, бонусом это ускоряет запуск стороннего софта. С эпохой LetsEncrypt когда у каждого второго свой сертификат подобное работать перестало. Отмечу что все популярные АВ позволяют это поведение отключить и проверять вне зависимости от того есть подпись или нет. Как правило наиболее сильно антивирусы доверяют ПО с сертификатами вендора ос
                                    • 0
                                      С эпохой LetsEncrypt

                                      LE не может выпускать сертификаты для подписи софта.
                                    • 0
                                      LetsEncrypt уже доверяют код подписывать?? o_O
                                      • 0
                                        Да, согласен криво получилось(хотя, до сего днябыл уверен что LetsEncrypt делает code sigining сертификаты), но сейчас цены другие нежели раньше, тот же Comodo позволяет купить за 73$/1y Code sigining certificate. Что несколько несопоставимо с 500$ на CodeSigning от Symantec года 4 назад ну и EV тоже подешевели. И вроде бы подешевение, как-то совпало с появлением LetsEncrypt но в любом случае это только мои домыслы.
                                        • 0
                                          Идея ваша правильная. Идёт распродажа доверия.
                                          • 0
                                            Не-не-не, Вы не путайте удешевление сертификатов с распродажей доверия. Снижение цен на сертификаты это хорошо. Просто надо понимать для чего вообще нужны сертификаты и ЭЦП — для подтверждения личности и гарантии неизменности подписанных данных. А по факту мы имеем какую-то дикую подмену понятий — раз код подписан, то это автоматически не код, а манна небесная. Раз сайт работает по HTTPS, то автоматически его владелец святой. И тд.
                                            А теперь еще ЦС выдают сертификаты направо и налево без должных проверок. Вот это подрывает на корню всю эту систему PKI.
                                            • 0
                                              За высокой ценой, теоретически, должна стоять большая работа по отбору и проверке клиентов.
                                              Есть смысл и в цветовой дифференциации штанов. Сертификаты «Вася — это Вася, кем бы он ни был» и «Вася — это лицо, соответствующее нашему широчайшему комплаенсу» обязаны быть различными, как по набору действий для их получения, так, разумеется, и по цене.
                                              Я, как раз, против хромых формулировок «Безопасно», «Защищено», навязываемых в адресной строке браузера, например.
                                      • 0
                                        «Косвенно означала», «как правило» и тд. Не находите, что это очень сомнительные определения когда дело касается безопасности?
                                        И в этом проблема. Т.е. по факту мы имеем ситуацию когда имея сертификат для подписывания кода (не важно даже как полученный) мы можем практически гарантированно пропихнуть мимо антивирусных решений всё что угодно.
                                    • 0
                                      А ваш ЦС как-то от подобного защищен? Понятно, что я не сотру все корневые серты, кроме вашего, даже узнав, что ответ — «да», но все же интересено: вы же так же, наверное, привлекаете партнеров, и так же вряд ли можете проверить/проследить, что подписываете не вирусню.
                                      А что некий блоб, подписанный неким ЦС, оказался вредоносным, можно и вообще узнать очень не скоро, если вообще узнать: механизма уведомления, я так понимаю, ведь не существует? Или, скажем, антивирусные компании имеют протокол уведомления ЦС о том, что подписанный такой-то бинарь — злобный гад, и подпись нужно отзывать?
                                      • 0
                                        ЦС подписывают открытый ключ пользователя после валидации и записывают его в CT-лог, остальное их не касается.
                                        При этом в CPS прописан запрет на malware и отзыв при нарушении условий.
                                        • 0
                                          Т.е. руки вы умыли, а пользы от подписи как бы и нет — что от вашей, что чужой. За что деньги-то, что формально поверили на слово, что заказчик не хацкер?
                                          • 0
                                            Задача ЦС удостовериться, что вы — это вы. Как электронный нотариус, не более того.
                                            • 0

                                              Вот здесь уже прокомментировали, что у людей возникло необоснованное мнение о том, что сам факт наличия валидной цифровой подписи имеет какое-то отношение к тому, является ли файл вредоносным или нет.


                                              Подпись удостоверяет две вещи — что файл не изменялся с момента подписания (достоверно, пока не взломана лежащая в основе подписи криптография), и что файл подписан определенныи лицом, физическим или юридическим (менее достоверно, потому что ключ может быть скомпрометирован). Вредоносность кода и морально-этический облик заказчика тут вообще ни при чём.

                                              • 0
                                                А я про моральный облик ничего и не говорю. Говорю о том, что практику подачи сертификатов как защиты от чего угодно, кроме как от неизменности объекта подписи, нужно бы прекращать. В то время как ЦС обычно себя подают примерно «приходите к нам, с нами вам будут верить больше, чем с нашими конкурентами».
                                              • 0
                                                Вы видимо не до конца понимаете что такое ЭЦП. И понимание это не только у Вас, а еще у многих (вплоть до производителей антивирусов?).
                                                ЭЦП позволяет убедиться, что подписанные данные (код, документ — не важно) не были модифицированы после подписания. А так же позволяет убедиться, что подписал данные какой-то конкретный субъект. Сертификат, выданный ЦС, как раз удостоверяет, что подписавший именно тот за кого себя выдаёт. Т.е. роль ЦС гарантировать, что эта ЭЦП (открытый ключ) принадлежит именно «тому парню». Всё, не больше и не меньше.
                                                Т.е. еще раз:
                                                1. Подпись гарантирует, что данные не менялись с момента подписания
                                                2. СЦ гарантирует, что данные подписал такой-то субъект
                                                Владелец ЭЦП волен подписывать _всё что ему угодно_. Наверно где-то в соглашениях между СЦ и покупателем сертификата написано, что «низя подписывать вирусню, ай-ай». Но это в любом случае на совести покупателя.

                                                Тут больше вопрос к антивирусам. Почему подписанный код изначально считается более доверенным?
                                                • 0
                                                  Точно как я и сказал выше: надо разъяснять, что такое сертификаты (а только инструмент проверки неизменности). А про антивирусы полностью согласен, и удивлен, что антивирусы вообще на что-то смотрят, кроме самого проверяемого файла.
                                                  • 0
                                                    Да, вижу. Писали комментарий одновременно.
                                                    К антивирусам у меня вопросы давно уже появились. После того как я лично столкнулся со зловредом подписанным валидной подписью (выше в комментарии писал вкратце). В общем запасаемся попкорноми смотрим на развитие ситуации. После истории с Symantec становится всё интереснее.
                                          • 0
                                            Вообще, вопрос доверия сертификатам, выдаваемым таким конторам, очень спорный))
                                            • 0
                                              С CodeSigning опцией сложнее, но левые сертификаты для сайтов в ближайшем будущем станут невозможны с включением в браузерах проверки через certificate transparency. Во всяком случае, сам факт выпуска подпольного сертификата мгновенно будет обнаружен.
                                              Да, механизм отзывов сертификатов в браузерах сейчас де-факто практически не работает, но мы все ждем доработки OCSP Stapling'a и вот тогда… =)

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое