Исследователи из компании Chronicle насчитали на VirusTotal почти 4 тыс. образцов ПО с поддельными сертификатами. По словам экспертов, за последние несколько лет фальшивые подписи превратились из оружия отдельных APT-группировок в привычный инструмент, доступный и рядовым преступникам.

Цифровые сертификаты подтверждают легитимность программного обеспечения. Разработчики получают их в специализированных удостоверяющих центрах (УЦ) или приобретают у перекупщиков. Злоумышленники используют украденные или поддельные сертификаты, чтобы подписывать ими вредоносное ПО и обходить защитные системы. Например, в 2019 году этим методом воспользовались операторы вымогателя Shade (Troldesh).

Эксперты построили исследование на изучении файлов Windows PE (portable executable), которые были загружены на VirusTotal за последний год. Специалисты отмечают, что ограниченная выборка объектов не отражает полную картину, но позволяет сделать выводы о существующих тенденциях — что и было целью работы.

Так, в ходе исследования было обнаружено 3815 PE-файлов с фальшивыми цифровыми подписями. Почти 80% случаев злоупотребления пришлись на шесть УЦ: Sectigo (ранее — Comodo), Thawte, VeriSign, Symantec, DigiCert и GlobalSign. Лидерство по этому показателю принадлежит первой компании в списке: ее сертификаты используют примерно  1900 образцов ПО, или 40% от общего числа изученных вредоносных программ.

Как пояснили эксперты, Sectigo — крупнейший игрок на рынке, поэтому злоумышленникам несложно раздобыть их сертификат через третьи руки. В ближайшее время этот УЦ может еще больше укрепить свои позиции: в мае компания объявила о партнерстве с организацией Let’s Encrypt, которая предоставляет разработчикам бесплатные сертификаты.

Цифровые подписи на основе сертификатов Thawte, оказавшейся на второй строчке рейтинга, были обнаружены более чем у 600 вредоносных программ. На третьем месте расположился УЦ VeriSign (почти 300 образцов).

Издатели сертификатов пытаются бороться с угрозой, отзывая скомпрометированные цифровые сертификаты. За период исследования такая судьба постигла более 20% поддельных сертификатов из засветившихся на VirusTotal. Эксперты уточняют, что в выборку вошли лишь программы, прошедшие повторное сканирование после блокировки. Реальные масштабы злоупотреблений, скорее всего, гораздо больше.

Стоит отметить, что объем деятельности того или иного УЦ не влияет на количество отозванных сертификатов. За период исследования и Sectigo, и Thawte заблокировали подписи примерно у 350 вредоносных программ.

Исследователи заключают, что рядовым пользователям стоит проявлять осторожность при установке ПО, поскольку даже проверенная программа может нанести вред компьютеру. Экспертам в области ИБ, очевидно, стоит подумать над новым механизмом верификации, который будет опираться на что-то более весомое, нежели простое доверие к сертификационному центру.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона