Jedním ze základních elementů elektronického obchodování je bezpečnost webů zajištěná digitálními certifikáty. Jdete-li na určitou webovou stránku, můžete si být jisti, že jde o legitimní byznys, protože je uznána certifikační autoritou, která potvrdí její pravost. Samotné certifikáty však mohou být zranitelné. Příklad: bezpečnostní firma Malwarebytes nedávno zaznamenala malware v platném, podepsaném digitálním certifikátu.
„Malware identifikoval jeden z našich bezpečnostních expertů,“ říká Jerome Segura z Malwarebytes. „Jde o typického trojského koně s jednou zvláštností: Byl podepsaný, a na rozdíl od jiného malwaru používajícího podpisy byl jeho certifikát platný.“
Malware krade bankovní informace a hesla a podle Segury využívá k šíření e-mail. Vypadá jako PDF faktura s platným certifikátem vydaným na jméno existující brazilské společnosti zvané „Buster Paper Comercial Ltda“. Certifikát byl vydán SSL certifikační autoritou DigiCert.
„Nemyslím si, že je sám o sobě ukradený,“ říká Segura. „Vypadá to, že [zločinci] postupovali tak, že objevili tuto softwarovou společnost v Brazílii a jejich jménem požádali DigiCert o certifikát. Z pohledu certifikační autority to vypadalo normálně. [Zločinci] pravděpodobně ke koupi certifikátu využili spoofovanou e-mailovou adresu společnosti. Zdá se mi, že je pro lidi, kteří si získají potřebné, volně dostupné informace, příliš jednoduché jednat jménem [jakékoliv] organizace či vytvořit falešnou stránku organizace a poté si koupit certifikát.“
DigiCert vydání certifikátu potvrdil, zrušil jej však hned poté, co se dozvěděl o zneužití.
„DigiCert provedl zevrubné vyšetření tohoto případu a může potvrdit, že byl certifikát potvrzen a vydán v souladu se zavedenými postupy,“ oznámila společnost v pondělí ve svém oficiálním vyjádření. „V době, kdy byl certifikát vydán, byla společnost Buster Paper Comercial Ltda legálně registrovanou společností, jak nám bylo potvrzeno brazilským ministerstvem práce (národním synchronizovaným katastrem). Podmínky používání DigiCertu jasně stanovují, že malware není akceptovaným typem aktivit, pro něž mohou být naše certifikáty použity. Ve chvíli, kdy se DigiCert dozvěděl o zneužití certifikátu, byl tento ihned zrušen.“
Segura říká, že když někdo klikne na tento konkrétní malware, opravdu se otevře něco, co vypadá jako PDF faktura. Vytvoří se však také několik procesů, které se připojí ke společnosti nabízející podnikové cloudové úložiště.
„Jde o subdoménu pro společnost zabývající se sdílením souborů pro podnikovou sféru,“ říká Segura. „V našem případě jde o úložiště souborů pro zločince.“
Falešné PDF stáhne dva objemné soubory WIDEAWAKE1.zip a WIDEAWAKE1.ecl. Segura poznamenává, že Malwarebytes již o problému kontaktovala i dotčenou cloudovou společnost, ale zatím se nedočkala odpovědi.
Segura poznamenává, že ThreatExpert, poskytovatel automatizovaných systémů analýzy, již podobného trojského koně s platným digitálním certifikátem nalezl, a to loni v listopadu. Certifikát tohoto trojana byl také ihned odebrán.
„Máme tu případ totálního zneužití hostitelských služeb a digitálních certifikátů a opakovaných útoků ze strany stejných lidí,“ říká Segura. „Je jasné, že jestli mohou být digitální certifikáty zneužity takhle snadno, máme velký problém.“
Digitální certifikáty používány pro phishingové útoky
„Krádeže digitálních certifikátů mohou být použity v cílených útocích, jako je například spear phishing,“ říká Segura. „Jak víme, jedním z nejslabších článků v bezpečnostním řetězci je koncový uživatel (a platí to zejména v podnikovém světě). Útočník může jednoduše zjisti či uhodnout, jaký antivirový program společnost používá, a nasadit malware, který je daným programem nedetekovatelný. Protože jsou tyto útoky velmi úzce zaměřeny, nebude tento malware šířen světem, což snižuje pravděpodobnost jeho zaznamenání.“
Segura doporučuje koncovým uživatelům, aby před otevřením přílohy v e-mailu stále kontrolovali platnost jejího digitálního certifikátu (dokonce i v případě, že znají odesílatele). Doporučuje však také dvě základní pravidla:
-
Zkontrolujte koncovku souboru a dejte si pozor na triky s několika koncovkami (například dokument.pdf.xls.exe)
-
Nikdy nevěřte souborovým ikonám – že soubor vypadá jako textový dokument nebo PDF ještě neznamená, že jím i je.
Zdroj: IDG News Service