Digital signierte Malware wesentlich häufiger als bisher angenommen

Digital signierte Malware rückte erstmals 2010 mit Stuxnet ins Rampenlicht. Im Zuge der folgenden Untersuchungen entdeckten Forscher diese Methode, die es erlaubt, Sicherheitssoftware wirkungsvoll zu umgehen, vereinzelt bei von staatlichen Einrichtungen entwickelter Malware und dann sogar bei von profitorientierten Kriminellen entwickelter Schadsoftware. Eine neue Untersuchung legt jedoch nahe, dass digital signierte Malware weitaus verbreiteter und schon deutlich länger in Umlauf ist, als bisher angenommen wurde.

Herausgefunden haben das Tudor Dumitraș, Bum Jun Kwon und Doowon Kim von der University of Maryland. Sie haben ihre Forschungsergebnisse vergangene Woche auf der ACM Conference on Computer and Communications Security (CCS) in Dallas vorgestellt und gleichzeitig eine Zusammenfassung ihrer Untersuchungen vorgelegt (PDF).

Die Forscher fanden demnach bisher 189 digitale signierte Malware-Samples. Dazu wurden kompromittierte Zertifikate verwendet, die von autorisierten Zertifizierungsbehörden herausgegeben wurden. 109 der so missbrauchten Zertifikate sind immer noch gültig. 136 weitere Malware-Samples wurden mit gültigen, von echten Authentifizierungsstellen ausgegebenen, aber fehlerhaften Zertifikaten signiert.

Die erste Malware, die sich mit einem missbräuchlich verwendeten Zertifikat auf Computer schlich, stammt Dumitras und seinen Kollegen zufolge bereits aus dem Jahr 2003. Sie war also schon sieben Jahre vor der Entdeckung von Stuxnet in Umlauf.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Bedeutsam ist diese Entdeckung aber vor allem deshalb, weil digital signierte Software nicht nur diverse Sicherheitsmaßnahmen in Windows problemlos umgehen kann, sondern in vielen Fällen auch gängige Anti-Malware-Produkte austricksen kann. Enttäuschend ist zudem, dass aufgrund von Schwächen in vielen gängigen Antivirus-Programmen bekannte, aber signierte Malware auch dann nicht erkennen, wenn deren Signatur nicht mehr gültig ist. Offenbar reicht das Vorhandensein einer Signatur, überprüft wird die vielfach nicht. Verantwortlich dafür ist offenbar eine fehlerhafte Implementierung von Microsofts Spezifikation für Authenticode.

Auch gängige Sicherheitssoftware lässt sich täuschen

Um das zu beweisen, beschafften sich die Forscher fünf unsignierte Schadprogramme, die von nahezu allen AV-Programmen erkannt werden. Die kombinierten sie dann mit je einem abgelaufenen Zertifikat, das zuvor für die Signierung einer legitimen Software und einer Malware verwendet worden war. Die daraus resultierenden 10 Dateien mit Schadcode ließen sie dann von einer Vielzahl gängiger Antivirenprogramme analysieren.

Anzahl der von der jeweiligen Sicherheitssoftware nicht erkannten, signierten Malware (Grafik: Dumitraș, Kwon, Kim / University of Maryland)

Der Versuch offenbar erhebliche Lücken in den Sicherheitsprodukten. Die Software von Palo Alto Networks hielt acht der zehn Dateien für legitim. Comodo ließ sechs der Dateien durch, ClamAV vier, Trend Micro drei. Bei Microsoft, Symantec, Avira, Fortinet, Malwarebytes und Sophos wurden im Test jeweils zwei nicht erkannten. Kaspersky versagte bei einer der modifizierten Dateien.

Schuld an dem Problem sind aber nicht alleine die Anbieter von AV-Software. Auch die schlechte Verwaltung der privaten Schlüssel durch Software-Hersteller ist ein Teil des Problems. Von den 189 durch die Forscher identifizierten Malware-Samples mit gültigen digitalen Signaturen wurden 75 bereits zuvor für legitime Software genutzt. Das spricht dafür, dass deren Hersteller nicht sorgsam genug damit umgegangen waren.

Und schließlich machen die Forscher die mangelhafte Überprüfung der Zertifizierungsstellen bei Anträgen für Zertifikate für die Code-Signierung für das Schlamassel mitverantwortlich. 22 der untersuchten Zertifikate wurden zum Beispiel nach einem Identitätsdiebstahl bei einer antragsberechtigten Firma an die falsche Person ausgegeben. Eine Liste der aller bekannten, zur Signierung von Malware verwandten Zertifikate findet sich auf http://signedmalware.org/.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

9 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

9 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

10 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

15 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago