Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Szkodliwe oprogramowanie 'Destover' teraz podpisane cyfrowo przy pomocy certyfikatów Sony (wpis uaktualniony)

Dodany 7 stycznia 2015, 13:11 CET
Tagi:

Niedawno nasze produkty wykryły nietypową próbkę z rodziny Destover. Trojany z tej rodziny były wykorzystywane w głośnych atakach pod nazwą DarkSeoul w marcu 2013 roku oraz podczas ataku na Sony w listopadzie 2014 roku.

Nowa próbka wyróżnia się tym, że została podpisana przy użyciu ważnego certyfikatu cyfrowego firmy Sony:  

signature_is_ok_auto.png

Z próbką tą, w postaci bez podpisu, spotkaliśmy się już wcześniej. Posiadała MD5: 6467c6df4ba4526c7f7a7bc950bd47eb i została skompilowana w lipcu 2014 roku.    

Nowa próbka posiada MD5 e904bf93403c0fb08b9683a9e858c73e i została prawdopodobnie podpisana 5 grudnia 2014 roku.

timestamp_auto.png

Pod względem funkcjonalnym backdoor zawiera dwa centra kontroli (C&C) i próbuje połączyć się na przemian z obydwoma, z przerwą występującą między kolejnymi połączeniami:

  • 208.105.226[.]235:443 - United States Champlain Time Warner Cable Internet Llc
  • 203.131.222[.]102:443 - Thailand Bangkok Thammasat University

Co to oznacza? Skradzione certyfikaty firmy Sony (które zostały publicznie udostępnione przez osoby atakujące) mogą zostać wykorzystane do podpisania innych szkodliwych próbek. Te z kolei mogą zostać użyte w innych atakach. Rozwiązania bezpieczeństwa uznają certyfikaty cyfrowe za zaufane, dzięki czemu ataki wykorzystujące takie certyfikaty są skuteczniejsze. Osoby atakujące wykorzystywały zaufane certyfikaty już wcześniej jako sposób na obejście polityki białej listy i trybu domyślnej odmowy.

Omawiany certyfikat cyfrowy zgłosiliśmy już do COMODO i Digicert i mamy nadzieję, że wkrótce znajdzie się na czarnej liście. Produkty firmy Kaspersky Lab wykrywają próbki tego szkodnika, mimo że są podpisane przez certyfikaty cyfrowe.

Numer seryjny skradzionego certyfikatu:

  • 01 e2 b4 f7 59 81 1c 64 37 9f ca 0b e7 6d 2d ce

Odcisk palca:

  • ‎8d f4 6b 5f da c2 eb 3b 47 57 f9 98 66 c1 99 ff 2b 13 42 7a

Aktualizacja (10 grudnia, 2014)

Po publikacji tego wpisu pojawiły się informacje, że omawiana próbka może być wynikiem „żartu” grupy badaczy bezpieczeństwa. Sprowokowało to pytania dziennikarzy oraz innych osób z branży, na które postanowiliśmy odpowiedzieć w tej aktualizacji:

1.   Czy znaleźliście podpisaną próbkę „na wolności”?

Jak dotąd nie trafiliśmy na podpisaną próbkę na wolności. Została nam dostarczona za pośrednictwem serwisów skanowania szkodliwego oprogramowania online. Jednak istnienie tej próbki wskazywało, że klucz prywatny został upubliczniony. W tym momencie wiedzieliśmy, że mamy do czynienia z niezwykle poważną sytuacją niezależnie od tego, kto odpowiada za podpisanie tego szkodnika.    

Z doniesień wynika, że „badacz” skontaktował się z instytucjami certyfikacji, aby unieważniły certyfikat po dostarczeniu szkodliwego oprogramowania online. Certyfikat zostałby unieważniony bez tworzenia nowego szkodliwego oprogramowania. Naprawdę nie było żadnej potrzeby tworzenia nowego szkodliwego oprogramowania, aby udowodnić, że certyfikat nie został jeszcze unieważniony.    

2.  Czy wiecie, ile certyfikatów firmy Sony wyciekło do sieci? 

Jak dotąd do sieci wyciekły dziesiątki plików PFX. Pliki te zawierają niezbędny klucz prywatny i certyfikat. Takie pliki są chronione za pomocą hasła, jednak te ostatnie mogą  zostać złamane lub odgadnięte. Nie wszystkie z takich plików będą miały od razu wartość dla osób atakujących.   

3.  Jakie zagrożenie niesie ze sobą wyciek do sieci certyfikatu podpisującego kod od dużej korporacji?

Nie można przecenić wagi wycieku kluczy służących do podpisania kodu. Oprogramowanie podpisane przez zaufanego wydawcę będzie traktowane jako zaufane przez system operacyjny i oprogramowanie bezpieczeństwa. Jest to niezwykle skuteczny sposób umożliwiający osobom atakującym uniknięcie wykrycia. 

Unieważnienie certyfikatu musi stanowić najwyższy priorytet jeśli chodzi o reagowanie na poważne incydenty dotyczące szkodliwego oprogramowania i włamania.

4. Czy produkty antywirusowe bardziej „ufają” podpisanym programom niż tym, które nie zostały podpisane?

Zaufanie do plików opiera się na ich reputacji, a podpisy cyfrowe odgrywają istotną rolę podczas oceny reputacji. Jednak sam podpis cyfrowy nie wystarcza. Przyglądamy się również reputacji podmiotów, które wydały i złożyły wniosek o certyfikat.  

Produkty firmy Kaspersky Lab wykrywają pliki podpisane cyfrowo. Nasze produkty wykryły podpisany wariant Destovera przy pomocy procedury wykrywania stworzonej dla pierwszego wariantu Destovera.