На чёрном рынке продают валидные сертификаты подписи исполняемого кода для обхода антивирусов

Все блоги / Про интернет 5 марта 2018 450

Сертификаты подписи кода уже несколько лет используются злоумышленниками для вредоносных программ. Ещё в 2010 году исследователи обратили внимание на образцы зловредов с сертификатами, скопированными из «чистых» файлов. Естественно, такая подпись кода не проходила проверку Authenticode (см. презентацию F-Secure на конференции CARO 2010).

Очередной ласточкой стал в 2011 году «правительственный» зловред Stuxnet. Он использовал четыре 0day-уязвимости в Windows, чтобы распространиться и получить права администратора, и был подписан настоящими сертификатами, украденными у Realtek и JMicron. Зловред устанавливался в систему как драйвер Microsoft.

Потом появились другие примеры, а примерно с 2015 года заработал полноценный чёрный рынок валидных сертификатов от авторитетных удостоверяющих центров (УЦ). Такие сертификаты продаются на подпольных форумах вроде российского Antichat.

Есть распространённое мнение, что сертификаты безопасности на чёрном рынке украдены у реальных владельцев. Это не так. Их действительно выдают настоящие УЦ.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

[Перевод] Я могу стать Apple, и ты тоже

Публичное раскрытие уязвимости в сторонней проверке подписи кода Apple В отличие от некоторых предыдущих работ, данная уязвимость не требует прав администратора, не требует JIT-кода или повреждения памяти для обхода проверки подписи кода. Всё что нужно — правильно отформатированный файл

подробнее »

13 июня 2018

NIC Индии выдал цифровые сертификаты на домены Google

2 июля компания Google обнаружила несколько поддельных цифровых сертификатов на свои домены, выданные Национальным центром сертификации (NIC) Индии. Есть вероятность, что NIC выдал сертификаты и на другие сайты, не Google. Сертификаты NIC Индии входят в каталог Indian Controller of Certifying

подробнее »

9 июля 2014

Злоумышленники использовали украденные сертификаты D-Link в своем ПО для воровства паролей

На днях стало известно, что группа злоумышленников завладела валидными сертификатами D-Link, известного производителя сетевого оборудования. Кроме того, были украдены сертификаты у еще одной тайваньской компании. Полученные сертификаты использовались для создания ПО, которое ворует пароли учетных

подробнее »

10 июля 2018

Ветераны получат сертификаты на бесплатную курьерскую доставку

Сервис курьерской доставки Bringo поздравит ветеранов сертификатами на бесплатную доставку посылок. Сертификаты раздадут ветеранам 9 мая на Театральной площади с 12 до 15 часов.

подробнее »

8 мая 2014

Mkcert: валидные HTTPS-сертификаты для localhost

В наше время использование HTTPS становится обязательным для всех сайтов и веб-приложений. Но в процессе разработки возникает проблема корректного тестирования. Естественно, Let’s Encrypt и другие CA не выдают сертификаты для localhost. Традиционно есть два решения. Читать дальше →

подробнее »

9 января 2019

[Из песочницы] WoSign Free SSL — конец большой китайской халявы

Некоторое время назад Китайская компания WoSign, начала бесплатно раздавать SSL сертификаты, о чем ни раз писалось на Хабре. Сначала они выдавали сертификаты на 2 года Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов, Бесплатные SSL-сертификаты на 2 года от WoSign, а потом решили

подробнее »

11 ноября 2015