Mac veya Windows'u hedef alan kötü amaçlı yazılım saldırılarına ilişkin haberler, günümüzün internet kullanıcıları için kesinlikle yeni bir şey değil. Daha da kötüsü, önyükleme virüsleri, hileli dosya ekleri ve makro virüsler gibi varyantlar zaten ilgi odağı haline geldi. Her şeyin kötü amaçlı yazılımla başlayıp bittiğini düşünüyorsanız yanılıyorsunuz. Bu sadece gelecek şeylerin bir işareti; bunu bir alarm zili olarak düşünün.
Siber Güvenlik Araştırma Enstitüsü (CSRI) tarafından yakın zamanda yürütülen bir araştırma, dijital kod imzalama sertifikalarının ne kadar risk altında olduğunu ortaya çıkardı. Stuxnet solucanı, 2005 yılında İran'ın nükleer zenginleştirme sürecini tehlikeye atmak için kullanılan bu türden ilk solucandı. Dijital kod imzalama sertifikasının kötüye kullanılmasının yakın tarihli bir örneği, CCleaner'a yapılan saldırıydı.
Digital Kod İmzalama Sertifikaları:
Dijital Sertifika, bir kişiye veya şirkete kimlik sağlayan kimlik kartı gibidir. Bunlar, güvenilir sertifika yetkilisi (CA) tarafından verilir.
img src: SSL.org
Sertifikasyon yetkilileri, sahibinin kimliğini ve yetkisini onaylamak için dijital sertifikalar düzenler. Bir kişiye veya şirkete verilen her dijital sertifikaya, diğer tanımlayıcı bilgilerle birlikte bir ortak anahtar eklenir. Bu sertifikalar, veri bütünlüğünü doğrulayan ve kullanımını doğrulayan kriptografik olarak imzalanmıştır.
Dijital sertifikaya sahip bir bilgisayar uygulamasına veya yazılımına bilgisayar tarafından güvenilir ve herhangi bir uyarı mesajı olmadan programın yürütülmesine izin verilir.
Nasıldır? Dijital Sertifikalar Risk Altında mı?Yasal olarak imzalanmış dijital sertifikalar Dark Web'de 1.200$'a (sertifika başına) varan bir fiyatla satılıyor. Bilgisayar korsanları bu sertifikaları kötü amaçlı kodlarını güvenilir yazılım satıcılarına bağlamak için kullanır ve böylece kötü amaçlı yazılımların algılanma riski azalır. Böylece hedeflenen ağları ve kullanıcıların makine güvenliğini kolaylıkla atlayabilirler.
Endişelenmeme gerek var mı?
Maryland Üniversitesi, College Park, Doowon Kim, BumJun Kwon ve Tudor Dumitras'tan güvenlik araştırmacılarından oluşan bir ekip, dijital imzalı kötü amaçlı yazılımların yaygın olduğunu tespit etti. Halihazırda toplam 325 imzalı kötü amaçlı yazılım örneği keşfedildi. Bunlardan 189'u geçerli dijital imzalara sahip.
"Bu tür hatalı biçimlendirilmiş imzalar, düşman için faydalıdır: Authenticode imzasını meşru bir örnekten imzasız bir kötü amaçlı yazılım örneğine kopyalamanın, kötü amaçlı yazılımın AV tespitini atlamasına yardımcı olabileceğini gördük. " dedi araştırmacılar.
Bu sertifikalardan 27'si ele geçirildi testler zaten iptal edildi, ancak şimdilik geri kalan 84 sertifikaya iptal edilene kadar sistem tarafından hâlâ güveniliyor.
“Kötü amaçlı yazılım ailelerinin büyük bir kısmı (%88,8) tek bir sertifikaya güveniyor; bu da, Kötüye kullanım amaçlı sertifikalar çoğunlukla üçüncü taraflardan ziyade kötü amaçlı yazılım yazarları tarafından kontrol ediliyor," dedi üçlü (Maryland Üniversitesi, College Park'tan Doowon Kim, BumJun Kwon ve Tudor Dumitras).
Src: thehackernews.com
Sertifikalar iptal edildikten sonra bile araştırmacılar, siber suçluların sertifikayı kötüye kullanmalarının hemen durdurulamayacağını buldu. Bazı antivirüs programları, iptal edilen sertifikalardaki kötü amaçlı programı tanıyamadığından. Yani, kötü amaçlı kod herhangi bir engel olmadan sistemde çalışacaktır.
Hackerlar, kötü amaçlı kodu Microsoft imzalı geçerli herhangi bir Windows sistem dosyasına veya Microsoft Office dosyasına kolayca ekleyebilir. Bu nedenle Microsoft tarafından imzalanan dosyalar güvenlik programının beyaz listesine eklendiğinden güvenlik uygulamalarından gizlenmektedir. Bu, kritik sistem dosyalarının silinmesine ve sistemin çökmesine neden olabilecek yanlış algılamayı önlemek için yapılır.
Korunmak için Ne Yapabilirim?
- İşletim sisteminizi ve tarayıcılarınızı her zaman güncel tutun.
- Kök sertifikalar bölgesine yeni CA'lar eklemekten kaçının.
- Bir İndirilen dosyanın bilinmeyen geliştirici tarafından teslim edilmesi.
- Güvenilen sertifikaları her zaman takip edin.
- Uç nokta güvenlik çözümlerini yükleyin
“Dijital olarak imzalanmış kötü amaçlı yazılımlar, Yalnızca geçerli imzalara sahip programları yükleyen veya başlatan sistem koruma mekanizmalarını atlayın." "Sertifikalı Kötü Amaçlı Yazılım: Windows Kod İmzalama PKI'sında Güven İhlallerinin Ölçülmesi" başlıklı makaleyi okuyor.
Bu gerçekten ciddi bir konudur; bilgisayar korsanlarının geçerli sertifikalara erişimi olması hiçbir şeyin güvenli olmadığı anlamına gelir. Bir anti-virüs programı olarak sistem bu tehditleri tespit edemeyecektir. Artık bir anti-virüs programından kaçmak çok kolay.
Saldırganlar tarafından kötüye kullanılan sertifikaların listesini Signedmalware.org adresinden kontrol edebilirsiniz.
Okunma: 0
