La crescita del malware super-invisibili grazie alla firma digitale

Indovinate che cosa è più costoso, nel dark web, di passaporti statunitensi contraffatti, carte di credito rubate e perfino armi? I certificati di firma digitale. Uno studio recente condotto dal Cyber Security Reasearch Institute (CSRI), pubblicato la scorsa settimana, ha rivelato che i certificati di firma digitale rubati sono facilmente disponibili all’acquisto, nel dark web, con un prezzo fino a 1.200 dollari.
Come saprete, i certificati digitali rilasciati da autorità di certificazione (CA) riconosciute, sono utilizzati per firmare crittograficamente applicazioni e software: in presenza di tale firma i computer considerano immediatamente attendibili questi programmi e li mettono in esecuzione senza ulteriori messaggi di avviso. Tuttavia, gli autori di malware sono costantemente alla ricerca di

nuove tecniche per per bypassare le soluzioni di sicurezza e, negli ultimi anni, sono ricorsi anche all’uso di certificati digitali attendibili.

Bypassare i software di sicurezza
I cyber-criminali utilizzano certificati di firma digitale compromessi per “autenticare” il proprio codice dannoso: riducono così drasticamente la possibilità che il proprio malware venga individuato su reti aziendali e su personal computer. L’infame Stuxnet che colpì le strutture nucleari iraniane nel 2003 usò certificati digitali legittimi. Anche la recente versione compromessa di CCleaner ha colpito moltissimi utenti grazie alla messa in distribuzione di un update compromesso, ma digitalmente firmato con un certificato legittimo.
Il certificato digitale valido dell’update compromesso di CClneare
L’incremento di malware digitally-signed
Tuttavia, più ricerche sullo stesso argomento, certificano ormai che il fenomeno non è più ad appannaggio di un ridotto numero di cyber-criminali, ma un fenomeno in crescita che vede, ovviamente, collegarsi il relativo mercato nero di certificati digitali legittimi.
Ad esempio 3 ricercatori della University of Maryland- College Park hanno confermato di aver individuato ben 325 diversi tipi di malware “firmati”, 189 (58,2%) dei quali recanti firme digitali valide, mentre 136 recavano firme digitali manomesse.
“Tali firme manomesse sono utili per il nostro avversario: scopriamo che la semplice copia di una firma Authenticode da un campione legittimo verso un malware non firmato può aiutare il malware stesso a bypassare l’individuazione da parte degli antivirus”– hanno affermato.
Questi 189 malware che recano firme digitali valide sono stati generati usando 111 certificati univoci compromessi emessi da CA riconosciute e usati per firmare software legittimi.
Al sito http://signedmalware.org/ è possibile vedere la lista di alcuni certificati abusivi.
L’esperimento: 
I ricercatori hanno condotto un esperimento per determinare se firme compromesse possano limitare le individuazioni da parte degli antivirus: per dimostrare questo hanno scaricato 5 diversi ransomware non firmatiche la maggior parte degli antivirus individua come dannosi. Vi hanno quindi “aggiunto” due certificati non più validi (usati per firmare software legittimi e poi usati “in the wild” per firmare malware): ben 34 antivirus tra i più diffusi hanno fallito nell’individuare la validità del certificato, in alcuni casi concedendo l’esecuzione di codice dannoso nel sistema bersaglio. In sunto la revoca di un certificato rubato non ferma immediatamente il malware.
La ricerca ha permesso quindi di sollevare il problema presso i più grandi vendor, la maggior parte dei quali ha già annunciato studi per risolvere il rpoblema.
L’intera ricerca è disponibile qui (in inglese).