Uso ilícito de code signing permite que hackers produzam assinaturas digitais
Via machine learning, a Trend Micro analisou três milhões de softwares baixados na Internet. A partir deste mapeamento, a empresa de segurança avaliou quais os riscos que o uso indevido de code signing representa para as empresas. O relatório Exploring the Long Tail of (Malicious) Software Download revela como os autores de malware produzem assinaturas digitais que espalham códigos infectados.
O code signing é uma assinatura criptográfica que permite a sistemas operacionais (como o Windows) uma maneira precisa e eficiente de diferenciar um aplicativo legítimo (como um software de instalação do Microsoft Office) de um software malicioso. Todos os sistemas operacionais e navegadores modernos verificam automaticamente as assinaturas por meio do conceito de uma cadeia de certificados.
Os certificados válidos são emitidos ou assinados por centrais autorizadas, que tem o backup garantido por outras centrais. No entanto, este mecanismo é baseado inteiramente no conceito de confiança. Teoricamente, “autoridades não confiáveis” não têm acesso aos certificados que são válidos. A análise, porém, provou o contrário.
Foi observado um grande número de softwares maliciosos assinados por autoridades certificadas que conseguiram desviar-se da validação. Há mais softwares maliciosos assinados (66%) do que legítimos (30,7%). Isto também acontece para malwares disponibilizados por meio de link direto, tais como navegadores (81% versus 32,1%).
A distribuição sugere uma tendência entre os operadores de malware: investir mais esforços na assinatura do malware que é executado primeiro em uma máquina alvo (como os droppers e os adware) ao invés de tipos mais agressivos de malware, que podem dominar um ambiente já comprometido. Isto faz sentido a partir de um ponto de vista comercial, já que o acesso para validar o code signing é caro e isso desafia os criminosos a usarem seu orçamento como parte da estratégia. Há casos notórios de code signing em larga escala.
Um problema geral observado pela Trend Micro é que as Centrais Autorizadas falham em validar adequadamente as solicitações de certificados que recebem. Enquanto uma infraestrutura de chave pública (PKI) oferece três categorias de certificados, com duas delas (categorias 2 e 3) exigindo um extenso processo de verificação da organização ou empresa real solicitando o certificado, a Trend Micro encontrou certificados emitidos para organizações que foram facilmente ligadas ao cibercrime, como a distribuição de malware.
As duas causas mais comuns dos certificados fraudulentos são as seguintes: certificados roubado de uma organização legítima onde ocorreu um comprometimento de sistema a partir de uma infecção de malware e certificados falsificados, em que as CAs emitem certificados para cibercriminosos que simulam ser de uma organização legítima. As técnicas de engenharia social são comumente utilizadas pelo criminoso.
A Trend Micro descobriu ainda propagandas no mercado ilegal, como anúncios em fóruns e lojas na deep web, que vendem certificados falsificados. As propagandas no mercado ilegal mostram que os cibercriminosos sabem o quanto é útil o mecanismo de code signing nas campanhas de malware. Sendo assim, usuários e empresas devem avaliar cuidadosamente qualquer software instalado em seu sistema, além das precauções padrões, como atualização dos sistemas operacionais e implementação de soluções de cibersegurança.
