Comodo centrum van certificering (nu bekend als Sectigo) vrijgegeven van de grootste aantal certificaten die zijn gebruikt voor het ondertekenen van de malware-programma monsters, gevonden op VirusTotal.
Het ontdekt Kroniek specialisten tijdens het uitgevoerde onderzoek.
THij keten van vertrouwen is relatief straight-forward: certificaten worden ondertekend (uitgegeven) door vertrouwde certificaatautoriteiten (CA's), die de steun van een vertrouwde ouder CA hebben. Deze erfelijke trust model wordt gebruik gemaakt van door malware auteurs die rechtstreeks of via resellers certificaten kopen. Direct of indirect gekocht, due diligence-in klanten lijkt te ontbreken."Helaas, attest is gebaseerd op een problematische grondbeginsel: Vertrouwen”, - beweren Chronicle experts.
In het onderzoek, Chronicle medewerkers te verdiepen in de analyse van uitvoerbare bestanden Windows-bestanden (PE) die zijn geüpload in de populaire dienst van de bestanden analyse VirusTotal.
Lees ook: Microsoft gepubliceerde lijst van gevaarlijke legitieme applicaties
volgende, experts gemarkeerd ondertekend kwaadaardige uitvoerbare bestanden en brak ze in twee groepen, met elk van hen met zijn eigen handtekening certificaat.
Experts ontdekten dat in 3815 studeerde malware 1775 had Comodo certificaat, 509 – Thawte, 261 – VeriSign, 131 – Symantec En 118 – DigiCert.
De verzamelde gegevens bleek ook dat de certificaten uit 21% van de monsters werden teruggeroepen voor mei 8, 2019.
“Alle hoop is niet verloren. Certificaatautoriteiten actief intrekking van certificaten van malware executables die zijn geïdentificeerd in het wild. Dit geeft aan dat CA's hun verantwoordelijkheden serieus nemen, hoewel meer ijver rond kopers kan helpen voorafgaand aan de spreekwoordelijke kat die uit de zak”, - betoogde Chronicle experts.
Experts gewezen dat de enige manier aan te pakken met behulp van certificaten in criminele doeleinden is hun herinnerend.
