Gefälschte digitale Zertifikate zur Signierung von Schadprogrammen

Nach Erkenntnissen von Kaspersky Lab hat sich die Anzahl nicht vertrauenswürdiger Zertifikate zur Signierung von Schadprogrammen im Jahr 2014 im Vergleich zum Vorjahr verdoppelt [1]. So enthielt die Antiviren-Datenbank des IT-Sicherheitsexperten Ende des vergangenen Jahres mehr als 6.000 nicht vertrauenswürdige und daher gefährliche Zertifikate. Es wird Unternehmen und Systemadministratoren empfohlen, digitalen Zertifikaten niemals uneingeschränkt zu vertrauen. Außerdem sollte der Start von signierten Dateien ausschließlich auf Basis der Signatur-Stärke verhindert werden.

»Virenschreiber stehlen und imitieren gültige Signaturen, um Nutzern und Antiviren-Lösungen vorzugaukeln, eine Datei sei sicher«, so Holger Suhl, General Manager DACH bei Kaspersky Lab. »Kaspersky Lab beobachtet diese Methode bereits seit einigen Jahren – vor allem bei Advanced Persistent Threats.«

Missbrauch digitaler Zertifikate durch Stuxnet, Winnti und Darkhotel

Es gibt zahlreiche Beispiele, wie Cyberattacken auf Basis gestohlener oder gefälschter Zertifikate erfolgten. So nutzte der berüchtigte Stuxnet-Wurm von Realtek und JMicron gestohlene Zertifikate [2]. Die Akteure der Cyberkampagne Winnti entwendeten Zertifikate, die von kompromittierten Unternehmen aus dem Gaming-Bereich stammten, und setzten diese dann für neue Attacken ein [3]. Dieselben Zertifikate wurden auch bei Angriffen von chinesischen Hackergruppen verwendet [4] – ein Hinweis darauf, dass diese im Cyberuntergrund angeboten wurden. Die Hintermänner der Cyberspionagekampagne Darkhotel signierten ihre Backdoor-Programme mit digitalen Zertifikaten; sie hatten offensichtlich Zugang zu den geheimen Schlüsseln, die für die Herstellung gefälschter Zertifikate benötigt werden [5].

Sicherheitstipps

Unternehmen sollten die Kontrolle über signierte Dateien mittels Antiviren-Schutzlösungen sowie Sicherheitsrichtlinien optimieren. So wird das Risiko einer Infizierung über Zertifikattäuschungen verringert:

  1. Der Start von Programmen, die von unbekannten Softwareanbietern digital signiert wurden, sollte generell verboten werden. Die meisten Zertifikate werden von kleinen Entwicklerfirmen gestohlen.
  2. Tauchen Zertifikate unbekannter Zertifizierungsstellen auf, sollten diese nicht im Speicher installiert werden.
  3. Systemadministratoren sollten den Start von Programmen nicht gestatten, die ausschließlich auf Basis des Zertifikatnamens vertrauenswürdiger Zertifikate signiert sind. Weitere Parameter wie Seriennummer und Fingerabdruck des Zertifikats (Hash-Summe) sollten immer mit überprüft werden.
  4. Das Microsoft MS13-098 Update [6] sollte installiert sein.
  5. Unternehmen sollten IT-Sicherheitslösungen einsetzen, die eine eigene Datenbank mit vertrauenswürdigen und nicht vertrauenswürdigen Zertifikaten besitzen.

 

[1] http://www.viruslist.com/de/weblog?weblogid=207320060
[2] http://securelist.com/blog/incidents/29725/stuxnet-signed-certificates-frequently-asked-questions/
[3] http://securelist.com/blog/research/57585/winnti-faq-more-than-just-a-game/
[4] http://securelist.com/blog/incidents/35692/winnti-stolen-digital-certificates-re-used-in-current-watering-hole-attacks-on-tibetan-and-uyghur-groups-3/
[5] http://securelist.com/blog/research/66779/the-darkhotel-apt/
[6] https://technet.microsoft.com/library/security/ms13-098 und https://technet.microsoft.com/library/security/2915720
 Nützliche Links:
  • Kaspersky-Blog: http://www.viruslist.com/de/weblog?weblogid=207320060
  • Stuxnet und Zertifikate: http://securelist.com/blog/incidents/29725/stuxnet-signed-certificates-frequently-asked-questions/
  • Winnti und Zertifikate http://securelist.com/blog/research/57585/winnti-faq-more-than-just-a-game/
  • Kaspersky Security Bulletin 2014/2015: Blick in die APT-Kristallkugel: http://www.viruslist.com/de/analysis?pubid=200883875 

Weitere Artikel zu