Code-Signed Malware Là Gì Và Tránh Malware Này như Thế Nào?


Code signing là cách thức sử dụng bút ký số dựa theo chứng chỉ cho 1 ứng dụng để hệ điều hành và người sử dụng định vị độ an toàn của nó. Chỉ có các phần mềm đúng mới có thể sử dụng chữ ký số tương ứng của nó.

Người dùng có thể tải, cài đặt an toàn ứng dụng và các nhà phát triển bảo vệ danh tiếng mặt hàng của họ với Code signing. Tuy nhiên, hacker và các nhà phân phối ứng dụng độc hại đang sử dụng hệ thống chuẩn xác đó để mã độc cũng có thể có thể thông qua các bộ phần mềm diệt virus và các chương trình bảo mật khác. Vậy Code-signed malware là gì và nó hoạt động như ra sao?

  • Gỡ bỏ hoàn toàn phần mềm độc hại (malware) trên máy tính Windows 10
  • Top 10 loại Malware nguy hiểm nhất với các tài khoản ngân hàng
  • Tìm hiểu về malware đa hình và siêu đa hình

Code Signed malware là gì?

Khi phần mềm được ký số, nghĩa là nó có chữ ký số chính thức. Certificate Authority cấp chứng chỉ cho 1 phần mềm để định vị phần mềm đó là hợp pháp và an toàn sử dụng.

Người dùng sẽ không phải lo lắng vì hệ điều hành sẽ kiểm tra chứng từ và xác minh chữ ký số đó. Ví dụ, Windows sử dụng chuỗi chứng từ (certificate chain) có chứa tất cả các chứng từ cần có để đáp ứng phần mềm hợp pháp.

Chuỗi chứng thư chứa mọi thứ các chứng từ cần thiết để chứng nhận đối tượng được định vị bởi chứng thư cuối. Thực tế, nó gồm chứng thư cuối, chứng chỉ CA trung gian và chứng từ CA gốc được mọi thứ các bên trong chuỗi tin cậy. Mỗi chứng thư CA trung gian trong chuỗi chứa một chứng chỉ do CA trên nó một bậc cấp. CA gốc ban hành chứng chỉ cho chính nó.

Khi hệ thống hoạt động, bạn có thể tin tưởng vào phần mềm, hệ thống Code signing và CA. Malware là phần mềm độc hại, không uy tín và không có quyền truy cập vào Certificate Authority hoặc Code signing.

Hacker đánh cắp chứng chỉ còn Certificate Authority

Phần mềm diệt virus biết malware là độc hại vì nó ảnh hưởng thiếu tích cực đến hệ thống của bạn. Nó kích hoạt cảnh báo, người dùng báo cáo sự cố và ứng dụng diệt virus có thể tạo chữ ký ứng dụng độc hại để bảo vệ máy tính khác sử dụng và một công cụ diệt virus.

Tuy nhiên nếu các nhà tạo malware cũng có thể ký mã độc sử dụng chữ kỹ số chính thức, thì công đoạn trên sẽ không xảy ra. Thay vào đó, Code-singed malware cũng có thể có thể xâm nhập vào hệ thống bằng con đường chính thức chính vì ứng dụng diệt virus và hệ điều hành của bạn không phát giác ra bất kể điều gì nguy hiểm.

Theo nghiên cứu của Trend Micro, toàn bộ thị trường malware đang tập trung hỗ trợ phát triển và phân phối Code-signed malware. Các nhà khai thác malware có quyền truy cập vào các chứng thư hợp lệ sử dụng để ký mã độc. Bảng dưới đây cho thấy con số malware sử dụng Code signing để lẩn tránh ứng dụng diệt virus tính từ lúc tháng 4/2018.

Bảng thống kê code-signed malware

Nghiên cứu của Trend Micro cũng cho thấy khoảng 66% malware có bút ký số. Ngoài ra, có 1 số loại malware cụ thể có nhiều phiên bản bút ký số như Trojan, dropper và ransomware.

Chứng chỉ số Code signing đến từ đâu?

Các nhà phân phối và phát triển ứng dụng độc hại có hai phương pháp để tạo code-signed malware. Họ ăn cắp chứng chỉ với Certificate Authority bằng cách trực diện hoặc mua lại hoặc giả mạo một tổ chức hợp pháp và đòi hỏi chứng từ với CA.

Như các bạn cũng có thể thấy, CA không phải là nơi duy nhất các hacker nhắm đến. Các nhà phân phối có quyền truy cập vào các chứng chỉ hợp pháp cũng đều có thể bán chứng chỉ có bút ký số tin cậy cho các nhà phát triển và phân phối malware.

Một nhóm nghiên cứu bảo mật của trường Masaryk University ở Cộng hòa Séc và Trung tâm Maryland Cybersecurity Center đã phát giác ra 4 tổ chức bán chứng chỉ Microsoft Authenticode cho người tiêu dùng ẩn danh. Khi nhà phát triển phần mềm độc hại có chứng từ Microsoft Authenticode, họ cũng đều có thể ký bất kỳ phần mềm độc hại nào cũng đều có thể thông qua lớp bảo quản dựa trên chứng từ và Code signing.

Một số trường hợp khác, thay vì đánh cắp các chứng chỉ, hacker sẽ đột nhập vào máy chủ xây dựng phần mềm. Khi phiên bản ứng dụng mới được phát hành, nó sẽ có một chứng từ hợp pháp, hacker lợi dụng công đoạn này để thêm mã độc vào.

Ví dụ về Code-signed malware

Vậy, Code-signed malware trông như thế nào? Dưới này là ba ví dụ về loại malware này.

  • Stuxnet malware : Phần mềm độc hại này phá hủy chương trình hạt nhân Iran bằng phương pháp sử dụng hai chứng thư đánh cắp và 4 lỗ hổng zero-day. Các chứng từ này được đánh cắp từ hai công ty JMicron và Realtek. Stuxnet sử dụng các chứng chỉ ăn cắp được để né đòi hỏi giới thiệu mới của Windows mà mọi thứ các driver đều yêu cầu xác minh.
  • Asus server breach: Vào khoảng thời gian từ tháng 6 đến tháng 11/2018, các hacker đã đột nhập vào một server Asus mà các công ty sử dụng để đẩy cập nhật phần mềm cho người dùng. Nghiên cứu tại Kaspersky Lab cho biết có chừng 500 nghìn thiết bị Windows nhận cập nhật độc hại này trước lúc bị phát hiện. Không cần ăn cắp chứng chỉ, các hacker này ký chứng thư số Asus hợp pháp cho ứng dụng độc hại của họ trước lúc server phần mềm phân phối cập nhật hệ thống.
  • Flame malware: Biến thể của phần mềm độc hại module Flame nhắm vào các quốc gia Trung Đông, sử dụng các chứng chỉ được ký 1 cách gian lận để né bị phát hiện. Các nhà phát triển Flame đã sử dụng một thuật toán mã hóa yếu để ký giả mạo các chứng từ số Code signing, khiến cho nó xuất hiện như thể Microsoft đã ký chúng. Không giống như Stuxnet với mục tiêu phá hoại, Flame là một công cụ gián điệp, tìm kiếm các file PDF, AutoCAD, file văn bản và các loại tư liệu công nghiệp quan trọng khác.

Làm thế nào để né Code-signed malware?

Loại malware này sử dụng Code signing để né bị các phần mềm diệt virus và hệ thống phát giác nên việc bảo quản ngăn chặn Code-signed malware là cực kì khó khăn. Luôn cập nhật phần mềm diệt virus, hệ thống là điều cần thiết, tránh click vào các link không biết và cẩn thận kiểm tra link đến từ đâu trước khi follow nó. Tham khảo bài viết Những nguy cơ từ malware và cách phòng tránh. 

Biên tập: ITS

Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Liên Quan


Quảng Cáo
Đặt Banner Quảng cáo, Textlink, Guest Post
Liên Hệ Ngay: 1900636343

Bài Viết Khác