Digital signierte Malware wesentlich häufiger als bisher angenommen

Digital signierte Malware rückte erstmals 2010 mit Stuxnet ins Rampenlicht. Im Zuge der folgenden Untersuchungen entdeckten Forscher diese Methode, die es erlaubt, Sicherheitssoftware wirkungsvoll zu umgehen, vereinzelt bei von staatlichen Einrichtungen entwickelter Malware und dann sogar bei von profitorientierten Kriminellen entwickelter Schadsoftware. Eine neue Untersuchung legt jedoch nahe, dass digital signierte Malware weitaus verbreiteter und schon deutlich länger in Umlauf ist, als bisher angenommen wurde.

Herausgefunden haben das Tudor Dumitraș, Bum Jun Kwon und Doowon Kim von der University of Maryland. Sie haben ihre Forschungsergebnisse vergangene Woche auf der ACM Conference on Computer and Communications Security (CCS) in Dallas vorgestellt und gleichzeitig eine Zusammenfassung ihrer Untersuchungen vorgelegt (PDF).

Die Forscher fanden demnach bisher 189 digitale signierte Malware-Samples. Dazu wurden kompromittierte Zertifikate verwendet, die von autorisierten Zertifizierungsbehörden herausgegeben wurden. 109 der so missbrauchten Zertifikate sind immer noch gültig. 136 weitere Malware-Samples wurden mit gültigen, von echten Authentifizierungsstellen ausgegebenen, aber fehlerhaften Zertifikaten signiert.

Die erste Malware, die sich mit einem missbräuchlich verwendeten Zertifikat auf Computer schlich, stammt Dumitras und seinen Kollegen zufolge bereits aus dem Jahr 2003. Sie war also schon sieben Jahre vor der Entdeckung von Stuxnet in Umlauf.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Bedeutsam ist diese Entdeckung aber vor allem deshalb, weil digital signierte Software nicht nur diverse Sicherheitsmaßnahmen in Windows problemlos umgehen kann, sondern in vielen Fällen auch gängige Anti-Malware-Produkte austricksen kann. Enttäuschend ist zudem, dass aufgrund von Schwächen in vielen gängigen Antivirus-Programmen bekannte, aber signierte Malware auch dann nicht erkennen, wenn deren Signatur nicht mehr gültig ist. Offenbar reicht das Vorhandensein einer Signatur, überprüft wird die vielfach nicht. Verantwortlich dafür ist offenbar eine fehlerhafte Implementierung von Microsofts Spezifikation für Authenticode.

Auch gängige Sicherheitssoftware lässt sich täuschen

Um das zu beweisen, beschafften sich die Forscher fünf unsignierte Schadprogramme, die von nahezu allen AV-Programmen erkannt werden. Die kombinierten sie dann mit je einem abgelaufenen Zertifikat, das zuvor für die Signierung einer legitimen Software und einer Malware verwendet worden war. Die daraus resultierenden 10 Dateien mit Schadcode ließen sie dann von einer Vielzahl gängiger Antivirenprogramme analysieren.

Anzahl der von der jeweiligen Sicherheitssoftware nicht erkannten, signierten Malware (Grafik: Dumitraș, Kwon, Kim / University of Maryland)

Der Versuch offenbar erhebliche Lücken in den Sicherheitsprodukten. Die Software von Palo Alto Networks hielt acht der zehn Dateien für legitim. Comodo ließ sechs der Dateien durch, ClamAV vier, Trend Micro drei. Bei Microsoft, Symantec, Avira, Fortinet, Malwarebytes und Sophos wurden im Test jeweils zwei nicht erkannten. Kaspersky versagte bei einer der modifizierten Dateien.

Schuld an dem Problem sind aber nicht alleine die Anbieter von AV-Software. Auch die schlechte Verwaltung der privaten Schlüssel durch Software-Hersteller ist ein Teil des Problems. Von den 189 durch die Forscher identifizierten Malware-Samples mit gültigen digitalen Signaturen wurden 75 bereits zuvor für legitime Software genutzt. Das spricht dafür, dass deren Hersteller nicht sorgsam genug damit umgegangen waren.

Und schließlich machen die Forscher die mangelhafte Überprüfung der Zertifizierungsstellen bei Anträgen für Zertifikate für die Code-Signierung für das Schlamassel mitverantwortlich. 22 der untersuchten Zertifikate wurden zum Beispiel nach einem Identitätsdiebstahl bei einer antragsberechtigten Firma an die falsche Person ausgegeben. Eine Liste der aller bekannten, zur Signierung von Malware verwandten Zertifikate findet sich auf http://signedmalware.org/.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

6 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

9 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago