Den prosessen er avhengig av antagelsen om at alt digitalt signert programvare er faktisk fra leverandøren og ikke skadelig
I dette tipset, jeg utforske trusselen digitalt signert. malware utgjør og strategier bedrifter kan bruke til å bli beskyttet mot denne risikoen signert
digitalt malware. Infiltrasjon og bedrifts trusler
digitalt signert malware er lik andre malware, bortsett fra at den er undertegnet av et sertifikat som vanligvis klarert iboende av et endepunkt. Mange leverandører i dag bruker en kodesigneringssertifikat for å demonstrere for kunder som en gitt .exe fil er legitimt fra leverandøren, og ikke en ondsinnet fil forkledd som legitimt. I bedriften, mange forskjellige plattformer, inkludert Windows, Apple og Android, bruke digitalt signert programvare for å styre hvilke programmer som kan installeres på sine systemer. Bedrifter kan etablere som digitalt signert programvare er trygt og godkjenne godkjente kjør å omgå sandbox-prosessen og fremskynde nedlasting.
Men prosessen er avhengig av antagelsen om at alt digitalt signert programvare er faktisk fra leverandøren. Dessverre er dette ikke alltid er tilfelle; hackere er å finne nye måter å gjennomsyre bedriftens nettverk ved hjelp av tilsynelatende legitime digitalt signert malware.
For å omgå plattform beskyttelse og fremstå som en pålitelig kjørbar, må malware finne en måte å få en gyldig signatur. I de fleste tilfeller er det altfor enkelt: Digitalt signert malware posing som et klarert sertifikat vil bli tillatt i takket være på bedriften hviteliste og unngå sandboxing prosessen. Hvis det ikke er noen andre sikkerhets beskyttelse på plass som kan identifisere filen som skadelig, vil malware kunne kompromittere systemet.
Så hvordan kan en angriper få hans eller hennes malware signert? Dette kan gjøres enten ved å få en kode-signeringssertifikat illegitimt eller ved at det går en leverandørs signeringsprosessen. Angripe registreringsmyndigheten del av PKI er enkleste måten å få en illegitim kode-signering sertifikatet. Angripe kodesignering infrastruktur er vanligvis mye vanskeligere fordi leverandørene forstår det er høy sikkerhet krav til kodesigneringsprosessen.
Når du er logget, endepunkter anta den kjør er fra en pålitelig leverandør, og derfor troverdig. For eksempel Adobe hadde en sikkerhetshendelse der en av sine kodesigneringssertifikater ble kompromittert og brukt av hackere til å signere to kjente skadelige filer. Enhver angriper kan handle på samme måte og stjele koden signeringssertifikatet og deretter bruke den til å registrere så mange filer som de ville med liten sjanse for å bli oppdaget. Når ondsinnede filer er signert og kjører på målsystemet, kan de utføre noen handlinger som den påloggede brukeren har lov til å utføre, og vil ikke motta en advarsel om å kjøre en usignert kjørbar. Alternativt angripere kan bruke den eksisterende kodesignering infrastruktur for å signere filer, men det kan være lettere for en leverandør å oppdage.
Enterprise beskyttelse fra digitalt signert malware
Mens standard malware beskyttelse bør allerede være på plass i alle bedriftens nettverk, er det noen flere defensive skritt jeg foreslå å spesifikt beskytte mot digitalt signert malware:
ikke tillater brukere å heie eller jailbreak sine mobile enheter. Dette gjør usignert eller uautorisert programmet lagrer som skal brukes, undergraver enheter 'innebygd beskyttelse mot digitalt signert malware.
Bare kjøre programvare fra legitime applikasjonsbutikker og leverandører fordi deres eiere utføre flere skanninger på toppen av bare å se etter signerte filer.
Kontroller alle MD5 eller SHA1 hashes for nedlastet programvare matche hashes fra leverandørene. Dette krever sterk kunnskap om alt nedlastet programvare og også betydelig innsats fra en bedrift. Det kan ikke være mulig å oppnå for alle produkter, som ikke alle leverandører publisere hashes for sine filer.
Hvitlisting kan brukes til å redusere risikoen for uautorisert nedlasting ved å bare tillate i filer signert av visse kode signeringssertifikater eller fra spesifikke sertifiseringsinstanser.
Svartelisting kan også være nyttig. Når en ondsinnet kode signeringssertifikat er identifisert, må du huske å svarteliste noen filer signert av dette sertifikatet fra å kjøre på systemet. I tillegg bør bedrifter sjekke sertifikatopphevelseslister (CRLer) for å se om visse sertifikater eller myndigheter skal blokkeres.
Hvis en fil er identifisert eller blokkert ved hjelp av noen av de nevnte metodene, kan det sendes til antimalware leverandører for å legge til deres programvare for ekstra beskyttelse.
programvare~~POS=TRUNC leverandører~~POS=HEADCOMP også spille en viktig rolle i å minimere sjansen for ondsinnet programvare blir signert. Leverandører må sørge for at sertifikatet som brukes for kodesignering holdes sikker og aldri tillate sertifikatet som skal kopieres ut av miljøet. I tillegg krever dobbel kontroll for å bruke sertifikatet vil legge betydelige kompleksitet og ressursbehov for signering programvare og kan hindre mange hackere. Alle kodesigneringssertifikater bør også ha et kort liv for å minimere den tidsrammen som den kunne brukes hvis det skulle bli stjålet. Leverandører kan også hyppige CRL å finne ut om en av sine kodesignering sertifikater er oppført for tilbakekall og deretter analysere kilden for å avgjøre eventuelle mistenkelige handlinger.
Ved hjelp av PKI som en del av en bedrift sikkerhetsstrategi er avgjørende for å gi høye nivåer av sikkerhet og bedre beskyttelse av endepunkter fra malware. I teorien er det en god ide å bruke digitale signaturer på programvare for å øke sikkerheten. Dessverre er disse signaturene ofte hemmet ikke bare av implementeringsvansker, men også den økende raffinement og cunningness av hackere, noe som gjenspeiles i fremveksten av digitalt signert malware. Denne trusselen går for å bevise at blindt stole signert programvare - eller noe, for den saks skyld - kan føre til svært uønskede resultater. Heldigvis, med en sterk forankring i malware forsvar og noen ekstra konfigurasjonsendringer, kan bedriftene bidra til øke tilliten i digitalt signert programvare og forbedre endepunktsikkerhet.