Tin tức về cuộc tấn công của phần mềm độc hại nhắm vào Mac hoặc Windows chắc chắn không có gì mới đối với người dùng internet ngày nay. Để làm cho vấn đề tồi tệ hơn, các biến thể như vi-rút khởi động, tệp đính kèm giả mạo và vi-rút macro đã xuất hiện trên ánh đèn sân khấu. Nếu bạn nghĩ rằng mọi thứ bắt đầu và kết thúc tại phần mềm độc hại thì bạn đã nhầm. Đó chỉ là dấu hiệu của những điều chưa đến, hãy coi đây như một hồi chuông cảnh báo.
Một nghiên cứu gần đây do Viện Nghiên cứu An ninh Mạng (CSRI) thực hiện đã tiết lộ, các chứng chỉ ký mã kỹ thuật số có nguy cơ rủi ro như thế nào. Loại sâu Stuxnet đầu tiên thuộc loại này được sử dụng để xâm phạm quá trình làm giàu hạt nhân của Iran vào năm 2005. Một ví dụ gần đây về việc lạm dụng chứng chỉ ký mã kỹ thuật số là cuộc tấn công vào CCleaner.
Chứng chỉ ký mã kỹ thuật số:
Chứng thư số giống như một chứng minh nhân dân, cung cấp danh tính cho một cá nhân hoặc công ty. Chúng được cấp bởi tổ chức phát hành chứng chỉ đáng tin cậy (CA).
img src:SSL.org
Tổ chức cấp chứng chỉ cấp chứng chỉ kỹ thuật số để phê duyệt danh tính và quyền hạn của chủ sở hữu. Khóa công khai cùng với thông tin nhận dạng khác được nhúng vào mỗi chứng chỉ số được cấp cho một cá nhân hoặc công ty. Các chứng chỉ này được ký bằng mật mã, xác thực tính toàn vẹn của dữ liệu và xác thực việc sử dụng nó.
Một ứng dụng máy tính hoặc phần mềm có chứng chỉ số được máy tính tin cậy và cho phép thực thi chương trình mà không có bất kỳ thông báo cảnh báo nào.
Chứng chỉ kỹ thuật số gặp rủi ro như thế nào?
Các chứng chỉ kỹ thuật số được ký hợp pháp đang được bán trên Dark Web với mức giá lên đến 1.200 đô la (mỗi chứng chỉ). Tin tặc sử dụng các chứng chỉ này để liên kết mã độc của họ với các nhà cung cấp phần mềm đáng tin cậy, giảm nguy cơ phần mềm độc hại bị phát hiện. Do đó, chúng dễ dàng vượt qua các mạng được nhắm mục tiêu và bảo mật máy của người dùng.
Tôi có cần phải lo lắng không?
Một nhóm các nhà nghiên cứu bảo mật từ Đại học Maryland, College Park, Doowon Kim, BumJun Kwon và Tudor Dumitras đã phát hiện ra rằng phần mềm độc hại được ký điện tử đang phổ biến. Tổng cộng 325 mẫu phần mềm độc hại có chữ ký đã được phát hiện. Trong số đó có 189 chữ ký điện tử hợp lệ.
“Các chữ ký không đúng định dạng như vậy rất hữu ích cho kẻ thù:chúng tôi nhận thấy rằng chỉ cần sao chép chữ ký Authenticode từ một mẫu hợp pháp sang một mẫu phần mềm độc hại chưa được ký có thể giúp phần mềm độc hại vượt qua sự phát hiện của AV", các nhà nghiên cứu cho biết.
27 trong số các chứng chỉ bị xâm phạm này đã bị thu hồi, mặc dù hiện tại 84 chứng chỉ còn lại vẫn được hệ thống tin cậy cho đến khi bị thu hồi.
“Một phần lớn (88,8%) các họ phần mềm độc hại dựa vào một chứng chỉ duy nhất, điều này cho thấy rằng các chứng chỉ lạm dụng chủ yếu được kiểm soát bởi các tác giả phần mềm độc hại chứ không phải bởi các bên thứ ba,” bộ ba cho biết (Doowon Kim, BumJun Kwon và Tudor Dumitras từ Đại học Maryland, College Park).
Src:thehackernews.com
Ngay cả sau khi các chứng chỉ đã bị thu hồi, các nhà nghiên cứu đã phát hiện ra rằng tội phạm mạng sẽ không bị ngăn chặn ngay lập tức lạm dụng nó. Vì một số chương trình chống vi-rút không nhận dạng được chương trình độc hại trong các chứng chỉ đã bị thu hồi. Tức là, mã độc sẽ chạy trên hệ thống mà không gặp bất kỳ cản trở nào.
Tin tặc có thể dễ dàng thêm mã độc hại vào bất kỳ tệp hệ thống Windows nào hợp lệ do Microsoft ký hoặc vào tệp Microsoft Office. Do đó, ẩn khỏi các ứng dụng bảo mật khi các tệp được Microsoft ký sẽ được thêm vào danh sách trắng của chương trình bảo mật. Điều này được thực hiện để tránh phát hiện sai có thể gây ra việc xóa các tệp hệ thống quan trọng và hệ thống bị treo.
Tôi có thể làm gì để luôn được bảo vệ?
- Luôn cập nhật hệ điều hành và trình duyệt của bạn.
- Tránh thêm bất kỳ CA mới nào vào vùng chứng chỉ gốc.
- Chặn tải xuống tệp do nhà phát triển không xác định phân phối.
- Luôn theo dõi các chứng chỉ đáng tin cậy.
- Cài đặt các giải pháp bảo mật điểm cuối
“Phần mềm độc hại được ký số có thể bỏ qua cơ chế bảo vệ hệ thống chỉ cài đặt hoặc khởi chạy các chương trình có chữ ký hợp lệ." đọc tờ báo “Phần mềm độc hại được chứng nhận:Đo lường vi phạm lòng tin trong PKI ký mã của Windows.”
Đây thực sự là một vấn đề nghiêm trọng, tin tặc có quyền truy cập vào các chứng chỉ hợp lệ có nghĩa là không có gì là an toàn. Là một chương trình chống vi-rút và hệ thống sẽ không thể xác định các mối đe dọa này. Giờ đây, thật dễ dàng để trốn tránh một chương trình chống vi-rút.
Bạn có thể kiểm tra danh sách các chứng chỉ bị kẻ tấn công lạm dụng tại signmalware.org.