Mal­wa­re met ech­te cer­ti­fi­ca­ten

Di­gi­taal on­der­te­ken­de mal­wa­re in op­mars

C’t Magazine - - Inhoud 11/2018 - Uli Ries

On­li­ne cri­mi­ne­len mis­brui­ken cer­ti­fi­ca­ten van ge­re­nom­meer­de be­drij­ven om mal­wa­re te on­der­te­ke­nen en daar­mee het ver­trou­wen van vi­rus­scan­ners te win­nen. Dat kost ze maar een paar dol­lar.

Net als de slang Kaa uit Jun­gle­boek pro­beert mal­wa­re om de vi­rus­scan­ner te be­to­ve­ren, om zo toch toe­ge­la­ten te wor­den op de com­pu­ter van het be­oog­de slacht­of­fer. De scha­de­lij­ke soft­wa­re ge­bruikt in­mid­dels al­ler­lei trucs om dat ver­trou­wen te krij­gen. Daar ho­ren te­gen­woor­dig ook gel­di­ge di­gi­ta­le cer­ti­fi­ca­ten bij, die bij­voor­beeld ko­men van ge­ves­tig­de na­men op het ge­bied van hard- en soft­wa­re.

Een goed voor­beeld daar­van is de cy­ber­worm Stux­net, die in ju­ni 2010 het Iraan­se atoom­pro­gram­ma sa­bo­teer­de. Stux­net werd met een di­gi­taal cer­ti­fi­caat van chip­fa­bri­kant Re­al­tek on­der­te­kend. In de zo­mer van 2018 dook een mal­wa­re op met de naam Plead, die los­ge­la­ten werd om Oost-Azi­a­ti­sche or­ga­ni­sa­ties te be­spi­o­ne­ren – met een di­gi­ta­le on­der­te­ke­ning van de net­werk­fa­bri­kant D-Link. De vi­rus­on­der­zoe­kers van Kas­pers­ky Lab meld­den dat de co­de van ruim hon­derd mal­wa­re­fa­mi­lies die zich be­zig­hou­den met ge­rich­te ATP-aan­val­len (Ad­van­ced Per­sis­tent Th­read) daar­mee on­der­te­kend is.

Di­gi­taal on­der­te­ken­de mal­wa­re komt ech­ter al­lang niet meer al­leen bij ge­rich­te aan­val­len voor, maar wordt een mas­sa­fe­no­meen: de vi­rus­on­der­zoe­kers van Kas­pers­ky Lab heb­ben in hun da­ta­ba­se in­mid­dels on­ge­veer tien mil­joen on­der­te­ken­de mal­wa­re-sam­ples, die bij on­ge­veer 2000 ver­schil­len­de mal­wa­re-fa­mi­lies ho­ren.

Di­gi­taal ver­trou­wen

De zo­ge­he­ten co­de-sig­ning ver­vult ei­gen­lijk een zin­vol­le taak: soft­wa­re­pro­du­cen­ten on­der­te­ke­nen hun pro­gram­ma’s met een cryp­to­gra­fi­sche sleu­tel om de ma­ker van de soft­wa­re een­dui­dig te iden­ti­fi­ce­ren. Bo­ven­dien is daar­mee ge­ga­ran­deerd dat de co­de na het cer­ti­fi­ce­ren niet ge­ma­ni­pu­leerd is. De in­for­ma­tie wie het be­stand heeft on­der­te­kend, staat in een di­gi­taal cer­ti­fi­caat dat on­der­deel van het be­stand is. Die krijgt de soft­wa­re­ma­ker van een cer­ti­fi­ce­rings­in­stan­tie (Cer­ti­fi­ca­te Aut­ho­ri­ty, CA), wiens taak het is ge­ge­vens in het cer­ti­fi­caat zo­als de be­drijfs­naam te con­tro­le­ren – met bij­voor­beeld een KvK-uit­trek­sel of een an­de­re vorm van iden­ti­fi­ca­tie. Als al­les klopt, on­der­te­kent de CA het cer­ti­fi­caat.

Dat loont de moei­te, want be­stu­rings­sys­te­men ken­nen aan on­der­te­ken­de soft­wa­re be­paal­de pri­vi­le­ges toe: het SmartS­creen-fil­ter van Win­dows con­tro­leert bij­voor­beeld ge­down­lo­a­de soft­wa­re op mal­wa­re-ri­si­co’s, maar keurt soft­wa­re die met een ex­ten­ded-va­li­da­ti­on-cer­ti­fi­caat is on­der­te­kend zon­der meer goed als te ver­trou­wen.

Bij Ap­ples iOS is een gel­dig ont­wik­ke­laars­cer­ti­fi­caat zelfs een voor­waar­de om een app ge­ïn­stal­leerd te krij­gen. Daar­om zijn ma­kers van mal­wa­re er na­tuur­lijk ook in ge­ïn­te­res­seerd om hun pro­duc­ten di­gi­taal te on­der­te­ke­nen – en dan het liefst met het cer­ti­fi­caat van een groot en be­kend be­drijf dat ver­trouwd wordt door ge­brui­kers en be­stu­rings­sys­te­men.

Nor­maal ge­spro­ken on­der­te­ke­nen cri­mi­ne­len al­leen het deel van een mal­w­are­aan­val dat het eerste op de com­pu­ter van een slacht­of­fer te­recht komt, dus bij­voor­beeld een drop­per, die de ei­gen­lij­ke scha­de­lij­ke co­de ver­vol­gens down­lo­adt. Om­dat die di­gi­taal on­der­te­ken­de voor­uit­ge­scho­ven post de vi­rus­scan­ner dan op het ver­keer­de been zet, kun­nen de

mal­wa­re-ont­wik­ke­laars zich de kos­ten en moei­te be­spa­ren om de la­ter ge­down­lo­a­de mal­wa­re te on­der­te­ke­nen.

Waar van­daan?

Bij de D-Link- en Re­al­tek-cer­ti­fi­ca­ten be­staat het don­ker­brui­ne ver­moe­den dat de voor het on­der­te­ke­nen be­no­dig­de be­stan­den buit­ge­maakt zijn bij een in­braak in de des­be­tref­fen­de be­drijfs­net­wer­ken. Een aan­val­ler hoeft daar zelf niet zijn han­den voor vuil ge­maakt te heb­ben, want hij kan die cer­ti­fi­ca­ten ook ge­woon on­li­ne be­stel­len. In de on­der­grond­se cy­ber­we­reld vra­gen ver­ko­pers 100 dol­lar voor een Co­mo­do-cer­ti­fi­caat – te be­ta­len in bit­coins, ethe­re­um of mo­ne­ro en af­ge­ge­ven aan een wil­le­keu­rig ge­ge­ne­reer­de hou­der. De aan­bie­ders ge­brui­ken moed­wil­lig ver­vals­te do­cu­men­ten om het ve­ri­fi­ë­ren door de cer­ti­fi­ce­rings­in­stan­ties suc­ces­vol te door­lo­pen.

Af­han­ke­lijk van de aan­bie­der kost het 150 tot 200 dol­lar als een ko­per per se een be­paal­de be­drijfs­naam wil heb­ben. Een cer­ti­fi­caat dat vol­gens ver­ko­per ‘best­buy’ ook Mi­cro­softs SmartS­creen te slim af kan zijn, kost 1800 dol­lar. Het duurst zijn de ex­ten­ded-va­li­da­ti­on-cer­ti­fi­ca­ten: ie­mand met de naam Cod­sig­ning.gu­ru wil daar 2500 dol­lar voor heb­ben. Mocht die aan­bie­ding daad­wer­ke­lijk echt zijn – en niet al­leen een po­ging tot op­lich­ting – dan kun­nen ko­pers vol­gens de aan­bie­der met een der­ge­lijk cer­ti­fi­caat de waar­schu­wings­mel­din­gen ont­wij­ken van Goog­le Chro­mes Sa­fe Brow­sing en Mi­cro­softs SmartS­creen-fil­ter, maar bij­voor­beeld ook het Ge­brui­kers­ac­count­be­heer (UAC) van Win­dows.

Di­gi­tal Sha­dows is een Brit­se dienst­ver­le­ner die zich ge­spe­ci­a­li­seerd heeft in on­der­zoek in de on­der­we­reld. Dit be­drijf meldt dat een van de ver­ko­pers ac­tief was op de in­mid­dels door jus­ti­tie af­ge­slo­ten darkweb-markt­plaat­sen Han­sa Markt en Alp­ha Bay. Vol­gens Di­gi­tal Sha­dows zit er op dit mo­ment ech­ter geen ver­ko­per van co­de-sig­ning-cer­ti­fi­ca­ten op hi­d­den ser­vi­ces in het Tor-net­werk. Die han­del ge­beurt ge­woon via min of meer mak­ke­lijk toe­gan­ke­lij­ke plat­forms op het clear­web.

Vol­gens een be­richt van Trend Mi­cro zijn het voor­al de cer­ti­fi­ce­rings­in­stan­ties van Co­mo­do en Cer­tum die op­val­len in sa­men­hang met val­se cer­ti­fi­ca­ten. On­ge­veer 14 pro­cent van de on­der­zoch­te be­stan­den die met een Co­mo­do-cer­ti­fi­caat zijn on­der­te­kend, zijn vol­gens hen kwaad­wil­lend, te­gen 12 pro­cent bij Cer­tum. In som­mi­ge ge­val­len kwa­men de on­der­zoe­kers van Trend Mi­cro ook cer­ti­fi­ca­ten van Di­gi­cert, Sy­man­tec en Ve­riSign te­gen. Op www.sig­ned­mal­wa­re.com heeft een groep we­ten­schap­pers van de uni­ver­si­teit van Ma­ry­land een lan­ge lijst van die val­se cer­ti­fi­ca­ten on­li­ne ge­zet.

Vi­rus­scan­ners

Naast de be­stu­rings­sys­te­men en de brow­sers ge­brui­ken ook an­ti­vi­rus­pro­gram­ma’s di­gi­ta­le cer­ti­fi­ca­ten bij het be­oor­de­len van on­be­ken­de be­stan­den – al is het dan als een van di­ver­se fac­to­ren die een rol spe­len. Naast de co­de-sig­ning wordt vol­gens Can­did Wu­eest, Se­ni­or Th­re­at Re­se­a­cher bij Sy­man­tec, bij­voor­beeld ook naar de re­pu­ta­tie van een be­stand ge­ke­ken en een ge­drags­ana­ly­se uit­ge­voerd. Bo­ven­dien con­tro­leert bij­voor­beeld Trend Mi­cro of een cer­ti­fi­caat wel­licht in­ge­trok­ken werd.

Vol­gens de on­der­zoe­kers van de uni­ver­si­teit van Ma­ry­land is ech­ter maar 20 pro­cent van al­le voor het on­der­te­ke­nen van mal­wa­re ge­bruik­te cer­ti­fi­ca­ten ooit in­ge­trok­ken, Zij lie­pen daar­bij te­gen een groot pro­bleem aan met be­trek­king tot het con­tro­le­ren van di­gi­ta­le cer­ti­fi­ca­ten door vi­rus­scan­ners. Ze de­den een sim­pel ex­pe­ri­ment en ko­pi­eer­den ech­te di­gi­ta­le cer­ti­fi­ca­ten van be­stan­den naar vijf al be­ken­de, niet-on­der­te­ken­de cryp­to-tro­jans. Voor die sim­pe­le aan­val is geen toe­gang tot de ge­hei­me sleu­tel van de cer­ti­fi­caat­hou­der no­dig.

Dat leid­de tot mal­wa­re-sam­ples waar­van het cer­ti­fi­caat niet gel­dig zou mo­gen zijn – de be­stands-has­hes van de tro­jans pas­ten im­mers niet bij de hash­waar­den van de oor­spron­ke­lijk ge­cer­ti­fi­ceer­de be­stan­den. Ver­vol­gens lie­ten de on­der­zoe­kers 50 vi­rus­scan­ners op de be­stan­den los. De re­sul­ta­ten wa­ren ver­ras­send: 34 van de scan­ners sloe­gen na die pri­mi­tie­ve in­greep geen alarm meer. De her­ken­nings­graad daal­de ge­mid­deld tot on­ge­veer 20 pro­cent. De on­der­zoe­kers den­ken dat dit aan een mo­ge­lij­ke over­be­las­ting van de an­ti­vi­rus­soft­wa­re ligt: om bij het ana­ly­se­ren van on­be­ken­de be­stan­den be­ter te kun­nen pri­o­ri­te­ren en com­pu­ters van klan­ten min­der te be­las­ten, zet­ten de scan­ners on­der­te­ken­de be­stan­den ach­ter­aan.

Blijk­baar heeft het con­cept van di­gi­ta­le cer­ti­fi­ca­ten bij soft­wa­re nog wat pro­ble­men en is dat al­leen met gro­te voor­zich­tig­heid te ge­brui­ken. Al­leen het feit dat een pro­gram­ma di­gi­taal ge­cer­ti­fi­ceerd is, zegt er ver­der nog niets over of het ook te ver­trou­wen is. (nkr)

Een di­gi­taal cer­ti­fi­caat geeft aan wie een be­stand uit­ge­bracht heeft – of in elk ge­val toe­gang heeft tot het bij­be­ho­ren­de cer­ti­fi­caat.

Co­de-sig­ning-cer­ti­fi­ca­ten van Co­mo­do zijn 100 dol­lar waard.

Voor ex­ten­ded­va­li­da­ti­on-cer­ti­fi­ca­ten, die ei­gen­lijk al­leen na een uit­ge­brei­de con­tro­le uit­ge­ge­ven mo­gen wor­den, moet je dui­de­lijkmeer be­ta­len.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.