Categories: SicherheitVirus

Windows-Malware mit gültigen digitalen Signaturen entdeckt

Forscher der tschechischen Masaryk Universität und des Maryland Cybersecurity Center (MCC) der University of Maryland haben mehrere Schadprogramme für Windows entdeckt, die mit einer gültigen digitalen Signatur versehen waren. Wie Infosecurity Magazine berichtet, sind dafür vier nicht näher genannte Organisationen verantwortlich, die unter anderem Microsoft-Authenticode-Zertifikate an anonyme Käufer veräußern.

Mit ihrer Studie wollten die Forscher den Untergrundhandel mit gültigen Softwarezertifikaten beleuchten, um dessen Ausmaß besser einschätzen zu können. Zu diesem Zweck untersuchten sie auch Beispiele für signierte Malware, um die Nachfrage nach Code-Signing-Zertifikaten einschätzen zu können. Dabei stellten die Forscher einen wichtigen Trend fest: Digitale Zertifikate für Schadsoftware stammen nicht mehr von Entwicklern, die zuvor kompromittiert wurden, sondern von einem stabilen Untergrundmarkt für Zertifikate für Malware-Autoren. „Zertifikate, die für den Missbrauch ausgestellt wurden, stellen ein aufstrebendes Segment der Schattenwirtschaft darf“, heißt es in der Studie (PDF).

Zertifikate sollen den Autoren von Schadsoftware vor allem helfen, Microsofts Sicherheitstechnik Defender SmartScreen zu umgehen. Sie prüft ausführbare Dateien vor ihrem Start und schätzt deren Vertrauenswürdigkeit unter anderem anhand des Zertifikats der Datei ein. Authenticode-Zertifikate von Microsoft, die für die Signierung von nicht installierten ausführbaren Dateien verwendet werden, sind der Studie zufolge ein geeignetes Werkzeug für Cyberkriminelle, da sie aufgrund spezieller Eigenheiten einen Missbrauch begünstigen. So lassen sich den Forschern zufolge missbrauchte Zertifikate nicht durch systematische Netzwerkscans aufspüren.

Für die Studie untersuchten die Forscher fast 2,12 Millionen Dateien, von denen mehr als 188.000 als schädlich eingestuft wurden. 14.221 Schadprogramme waren korrekt zertifiziert. Die Preise für die Zertifikate lagen in englischen und russischen Untergrundforen – je nach Art des Zertifikats und SmartScreen-Reputation – zwischen 350 und 7000 Dollar.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

„Unsere Ergebnisse deuten darauf hin, dass es für spezialisierte Anbieter möglich ist, einen zuverlässigen Prozess zur Erlangung von Codesigning-Zertifikaten von Certificate Authorities einzurichten“, lautet ein Fazit der Studie. „Der Untergrundhandel wächst und mindestens ein Teil des Kundenstamms zeigt ein gewisses Vertrauen in die Zuverlässigkeit der Zertifikatsversorgung.“

Die mit Zertifikaten erzielten Umsätze der untersuchten Anbieter sind jedoch vergleichsweise überschaubar. Der erfolgreichste Anbieter der Studie, der als einziger einen eigenen Online-Shop unterhält, verkauft demnach in Schnitt pro Monat mehr als zehn Zertifikate im Wert von rund 16.150 Dollar. Fast die Hälfte dieser Zertifikate wurde innerhalb eines Monats nach Verkauf für die Signierung von Schadsoftware verwendet.

Bleiben Sie in Kontakt mit ZDNet.de

ZDNet-Newsletter

Täglich alle relevanten Nachrichten frei Haus.

Jetzt anmelden!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago