Wykryty w roku 2010 Stuxnet został podpisany cyfrowo. Zaskoczeniem dla branży związanej z bezpieczeństwem IT było to, że to tego celu wykorzystano skradzione certyfikaty, wydane wcześniej dla firm Realtek i JMicron. Eksperci od spraw bezpieczeństwa przewidywali wtedy, że inni twórcy złośliwego oprogramowania mogą w przyszłości wykorzystywać te technikę do omijania zabezpieczeń blokujących instalację niepodpisanych sterowników (driver signature enforcement) w 64-bitowych wersjach Windows Vista i 7. Najnowsze wydarzenia potwierdzają, że mieli rację.

W grudniu ub.r. specjaliści Symanteca znaleźli konia trojańskiego instalującego sterownik rootkita. Był on podpisany skradzionym certyfikatem cyfrowym. Na prośbę firmy, z której go skradziono certyfikat ten został odwołany 9 dni później przez Verisign.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Polecamy Citadel - profesjonalne narzędzie, świetne wsparcie techniczne ... dla cyberprzestępców

System Windows rzadko sprawdza listy odwołanych certyfikatów albo nawet w ogóle ich nie sprawdza. Zdaniem Mircea Ciubotariu z Symanteca okno czasowe w którym podpisany skradzionym certyfikatem kod złośliwy pozostaje niewykryty może być w związku z tym większe.

Według Costina Raiu, dyrektora działu badań i analiz Kaspersky Lab, nawet gdyby Windows sprawdzał te listy regularnie, nie czyniłoby to żadnej różnicy, bo zablokowany byłby nie tylko malware, ale również np. sterowniki urządzeń.

Polecamy Komputery i bezpieczeństwo IT: 19 najbardziej irytujących pytań

Podaje on przykład certyfikatu używanego przez Stuxneta - jeżeli Microsoft blokowałby ładowanie wszystkich plików uwiarygodnianych odwołanym certyfikatem, to prawdopodobnie milionom użytkowników na całym świecie przestałyby działać komponenty których sterowniki zostałyby zablokowane - a wśród nich takie jak płyty główne czy karty sieciowe. Trudno więc zdecydować się na blokowanie wykonania lub ładowania plików podpisanych skradzionym certyfikatem.

Kradzionymi certyfikatami podpisywane są nie tylko sterowniki zostawiane przez złosliwe oprogramowanie. Zidentyfikowany niedawno przez Kaspersky Lab Trojan-Dropper.Win32/Win64 był uwierzytelniany certyfikatem skradzionym szwajcarskiej firmie Conpavi AG. Jednak podpisany komponent nie jest sterownikiem, ale plikiem instalatora (dropperem).

Bogdan Botezatu z BitDefender, zwraca uwagę, że twórcy malware są teraz zainteresowani uwierzytelnianiem za pomocą podpisów cyfrowych nie tylko sterowników, ale także instalatorów, ponieważ niektóre rozwiązania antywirusowe pomijają skanowanie podpisanych cyfrowo plików, zakładając, że są bezpieczne. Ponadto podpisane moduły z większym prawdopodobieństwem będą włączane do białych list kontroli aplikacji i szansa ze zostaną w pełni prześwietlone jest mniejsza - w ten sposób mogą pozostać niewykryte przez dłuższy czas.

Polecamy Black Hat Europe: Wirusy komputerowe zaatakują ludzi?

Kolejny, podpisany skradzionym certyfikatem złośliwy kod, niebędący sterownikiem, został niedawno wykryty przez specjalistów z AlienVault. Użyto go w ataku na strony organizacji aktywistów tybetańskich. W tym ataku skorzystano z wariantu Gh0st RAT - trojana umożliwiającego na zdalny dostęp. Jest to rodzaj złośliwego oprogramowania o niemal nieograniczonych możliwościach: od kradzieży dokumentów po włączenie mikrofonu na komputerze ofiary. Gh0st RAT był pierwotnie użyty w ubiegłym roku w atakach 'Nitro' (kampania chińskich hakerów skierowana przeciwko koncernom chemicznym), a jego ostatnio odkryty wariant wygląda na pochodzący od tych samych autorów.

Eksperci Kaspersky Lab i BitDefender są zgodni. Wzrasta zagrożenie ze strony złośliwego oprogramowania z komponentami podpisanymi cyfrowo. Używane przez cyberprzestępców certyfikaty są kupowane pod fałszywą tożsamością bądź kradzione.