Digital signierte Malware: Neue Bedrohung für Unternehmen

Cyberkriminelle nutzen immer häufiger digital signierte Malware, um Antimalware-Programme zu umgehen. Wir zeigen Ihnen, wie Sie sich schützen können.

Die Public Key Infrastructure (PKI) hat in den letzten Jahren an Bedeutung gewonnen. Die Vorteile von PKI haben es zu einem Eckpfeiler der IT-Security werden lassen. Die darunterliegende Technologie unterstützt praktisch alle Arten von Verschlüsselung, die man im Internet verwendet. Neben der schwierigen Konfiguration gibt es aber einen weiteren Nachteil von PKI: digital signierte Malware.

In diesem Tipp gehe ich auf die Bedrohungen durch digital signierte Malware ein und erläutere Strategien, die Unternehmen dagegen anwenden können.

Digital signierte Malware: Infiltration und Bedrohungen

Digital signierte Malware ist anderer Malware sehr ähnlich. Der Unterschied ist, dass sie mit einem Zertifikat signiert wurde, dem das Endgerät vertraut. Viele Anbieter verwenden mittlerweile Zertifikate, um Kunden zu zeigen, dass die entsprechende Datei vom Anbieter stammt und keinen Schadcode enthält. Viele Betriebssysteme, wie zum Beispiel Windows, Mac OSx und Android, verwenden digital signierte Software. Damit bestimmt man, welche Software auf die Systeme installiert werden darf. Firmen können festlegen, welche digital signierte Software sicher ist und die entsprechenden ausführbaren Dateien auf eine Whitelist setzen. Das umgeht den Sandboxing-Prozess und beschleunigt den Download.

Allerdings beruht der Prozess darauf, dass sämtliche digital signierten Programme auch tatsächlich vom Anbieter stammen. Leider ist dies nicht immer der Fall. Böswillige Hacker finden immer neue Schwachstellen, um in die Netzwerke der Unternehmen einzudringen. Dafür verwenden sie unter anderem digital signierte Software.

Um den Schutz der Plattformen umgehen zu können und sich als vertrauenswürdige ausführbare Datei auszuweisen, muss der Cyberkriminelle für die Malware eine gültige Signatur finden. Häufig ist das gar nicht so kompliziert. Digital signierte Malware, die sich durch ein Zertifikat als vertrauenswürdig gekennzeichnet ist, wird über die Whitelist erlaubt und umgeht den Sandboxing-Prozess. Gibt es keine weiteren Schutzmechanismen, die diese Datei als schädlich erkennen, kann die Malware das System kompromittieren.

Wie kann ein Cyberkrimineller nun seine Malware signieren? Entweder besorgt er sich ein Zertifikat für den Code oder er kompromittiert die Signierung des Anbieters. Die Registrierungsquelle der PKI ist der einfachste Weg, um sich ein Zertifikat illegal für die Signierung des Codes zu besorgen. Ein Angriff auf die Infrastruktur, die den Code signiert, ist in der Regel wesentlich schwieriger. Anbieter wissen natürlich, dass es für die Code-Signierung hohe Security-Anforderungen gibt.

Sobald eine Unterschrift vorhanden ist, gehen die Endgeräte davon aus, dass die ausführbare Datei vertrauenswürdig ist. Ein Beispiel war eine Security-Schwachstelle bei Adobe, bei der ein Zertifikat für die Signierung des Codes kompromittiert wurde. Cyberkriminelle hatten es verwendet, um zwei bekannte schädliche Dateien zu signieren. Jeder Angreifer kann einen ähnlichen Ansatz verwenden und ein Zertifikat für die Signierung des Codes stehlen. Sobald der Schad-Code auf dem Zielsystem ist, kann dieser alle Aktionen ausführen zu denen der jeweilige Anwender berechtigt ist. Ein Warnung, dass eine nicht-signierte Datei ausgeführt wird, gibt es nicht. Alternativ können Cyberkriminelle die existierende Infrastruktur für die Code-Signatur nutzen, um ihre Dateien damit zu signieren.

Wie sich Unternehmen vor digital signierter Malware schützen

Security-Maßnahmen gegen Malware sollten im Firmen-Netzwerk bereits eingesetzt werden. Es gibt aber zusätzliche Schritte zur Verteidigung gegen digital signierte Malware:

  • Erlauben Sie den Anwendern nicht, Ihre Geräte zu rooten oder einen Jailbreak zu machen. Das kann zur Folge haben, dass Nutzer nicht-zertifizierte App-Stores verwenden können und die Schutzmechanismen untergraben, die in den Geräten eingebaut sind.
  • Installieren Sie nur Software aus legitimen App-Stores und von vertrauenswürdigen Anbietern. Die Betreiber machen zusätzliche Scans, um digital signierte Dateien zu prüfen.
  • Verifizieren Sie alle MD5- oder SHA1-Hashes für heruntergeladene Software. Diese Hashes müssen mit denen der Anbieter übereinstimmen. Dazu benötigen Sie zusätzliches Fachwissen. Allerdings funktioniert das nicht bei allen Produkten, da nicht alle Anbieter Hashes zur Verfügung stellen.
  • Whitelisting lässt sich einsetzen, um das Risiko durch unautorisierte Downloads zu verringern. In diesem Fall erlauben Sie lediglich Dateien, die mit bestimmten Zertifikaten versehen sind.
  • Eine Blacklist kann ebenfalls hilfreich sein. Wurde ein unrechtmäßiges Zertifikat für das Signieren des Codes erkannt, setzen Sie dies auf die Blacklist. Alle Dateien, die mit diesem Zertifikat signiert sind, lassen sich dann nicht mehr auf dem jeweiligen System ausführen. Zusätzlich sollten Unternehmen die so genannten CRLs (Certificate Revocation Lists) überprüfen, um zu erfahren, ob bestimmte Zertifikate blockiert werden sollten.

Wurde eine Datei durch die angesprochenen Methoden erkannt oder blockiert, können Sie das den Antimalware-Anbietern mitteilen, so dass diese zusätzlichen Schutz integrieren.

Softwareanbieter spielen ebenfalls eine Rolle, um das Risiko schädlich signierter Software zu minimieren. Die Anbieter müssen sicherstellen, dass die für die Code-Signaturen verwendeten Zertifikate sicher aufbewahrt sind. Sie sollten unter allen Umständen verhindern, dass Kopien der jeweiligen Zertifikate außerhalb ihrer Umgebung im Umlauf sind. Kann man das Zertifikat nur mithilfe einer dualen Kontrolle nutzen, erhöht das die Komplexität und den benötigten Ressourcen-Aufwand für das Signieren von Software. 

Cyberkriminelle könnten dadurch abgeschreckt werden. Alle Zertifikate für das Signieren von Code sollten eine kurze Lebensdauer haben. Wird das Zertifkat gestohlen, ist dessen Zeitrahmen kürzer. Anbieter können ebenfalls die CRLs aufsuchen und herausfinden, ob sich eines ihrer Zertifikate auf einer der Annullierungslisten befindet. Im Anschluss sollten sie entsprechend die Quelle analysieren und nach verdächtigen Aktionen suchen.

PKI ist für die Security der Endgeräte entscheidend. Theoretisch ist die Verwendung von digitalen Signaturen eine sichere Maßnahme, um die Security zu stärken. Die Signaturen sind allerdings nicht nur durch Schwierigkeiten bei der Implementierung mit Vorsicht zu genießen, sondern auch durch die wachsende Kreativität der Cyberkriminellen. Den Beweis dafür liefert das vermehrte Auftauchen von digital signierter Malware. Vertrauen Sie signierter Software blind, kann das unerwünschte Folgen haben. Mit einer starken Malware-Verteidigung und ein paar Konfigurationen können Unternehmen das Vertrauen in digital signierte Software stärken.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Neue IT-Sicherheitsrisiken

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close