Por meio de um sistema de machine learning, foram analisados 3 milhões de softwares baixados, incluindo centenas de milhares de máquinas conectadas à Internet. A partir deste mapeamento, a Trend Micro avaliou quais os riscos que o uso indevido de code signing representa para as empresas. Na pesquisa intitulada “Exploring the Long Tail of (Malicious) Software Download”, a empresa verifica como os autores de malware produzem assinaturas digitais que espalham códigos infectados por vírus.
O code signing é uma assinatura criptográfica do software que permite a sistemas operacionais (como o Windows) uma maneira precisa e eficiente de diferenciar um aplicativo legítimo (como um software de instalação do Microsoft Office) de um software malicioso. Todos os sistemas operacionais e navegadores modernos verificam automaticamente as assinaturas por meio do conceito de uma cadeia de certificados.
Certificados válidos são emitidos ou assinados por centrais autorizadas, que tem o backup garantido por outras centrais. No entanto, este mecanismo é baseado inteiramente e estritamente no conceito de confiança. Teoricamente, “autoridades não confiáveis” não têm acesso aos certificados válidos. A análise da Trend Micro provou o contrário.
De acordo com a pesquisa, foi observado um grande número de softwares maliciosos assinados por autoridades certificadas que conseguiram desviar-se de mecanismos de validação.
Foram vistos mais softwares maliciosos assinados do que aplicativos legítimos ou benignos (66% versus 30,7%). Isto também acontece para malwares disponibilizados por meio de link direto, tais como navegadores (81% versus 32,1%).
A distribuição sugere uma tendência entre os operadores de malware: investir mais esforços na assinatura do malware que é executado primeiro em uma máquina alvo (como os droppers e adware) ao invés de tipos mais agressivos de malware, que podem dominar um ambiente já comprometido. Isto faz sentido a partir de um ponto de vista comercial, já que o acesso para validar o code signing é caro e isso desafia os cibercriminosos a usarem seu orçamento de forma estratégica.
Como o uso clandestino do code signing reflete nos mercados underground
Nos últimos anos, casos notórios de uso malicioso do code signing têm sido relatados em larga escala. Em 2010, o StuxNet recebeu grande atenção da mídia quando foi descoberto utilizando uma assinatura digital roubada da Realtek Semiconductor Corp. para atacar o controle de supervisão WinCC e sistemas de aquisição de dados (SCADA).
A Realtek é uma fabricante global legítima de microchips localizada em Taiwan. Quando o certificado foi revogado, o StuxNet começou a utilizar assinaturas da JMicron Technology Corp., outra empresa especializada na fabricação de microchips e localizada em Taiwan. Uma análise post-mortem sugeriu que os cibercriminosos comprometeram essas empresas para roubar seus certificados de desenvolvimento, incluindo as chaves privadas utilizadas para assinar arquivos executáveis.
Em 2014, depois de um ataque massivo de hackers contra a Sony Pictures, amostras de uma campanha de malware chamada Destover foram encontradas assinadas com certificados válidos da Sony. Este malware era amplamente conhecido por ser utilizado contra a Sony em ataques que levaram ao vazamento de dados corporativos e pessoais e à destruição de dados nos PCs corporativos.
CopyKittens, Suckfly, Turla e Regin foram outras campanhas bastante conhecidas que também utilizaram com êxito certificados assinados para fins maliciosos.
Problemas na validação das solicitações de certificado
Um problema geral observado pela Trend Micro é que as Centrais Autorizadas – em diferentes extensões – falham em validar adequadamente as solicitações de certificados que recebem.
Enquanto uma infraestrutura de chave pública (PKI) oferece três categorias de certificados, com duas delas (categorias 2 e 3) exigindo um extenso processo de verificação da organização ou empresa real solicitando o certificado, A Trend Micro encontrou certificados emitidos para organizações que foram facilmente ligadas ao cibercrime, como a distribuição de malware.
Durante a investigação, foi constatado que algumas das principais centrais envolvidas neste fenômeno são a Comodo e a Certum. Entre os milhares de binários que foram assinados com certificados emitidos por estas CAs, aproximadamente 14% (Comodo) e 12% (Certum) dos binários eram maliciosos. Estes valores alcançaram picos de 36% nos períodos de extensas campanhas de malware.
Origens dos certificados fraudulentos
As duas causas mais comuns dos certificados fraudulentos são as seguintes:
– Certificados roubados: Certificados são roubados de uma organização legítima onde ocorreu um comprometimento de sistema a partir de uma infecção de malware;
– Certificados falsificados: As CAs emitem certificados para cibercriminosos que simulam uma organização legítima. As técnicas de engenharia social são comumente utilizadas pelo criminoso.
Empresas que distribuem software indesejado/malicioso assinado
Também existem empresas que têm produtos legítimos, mas uma verificação mais cuidadosa, revelou alguns outros aspectos sobre elas. Até certo ponto, elas produzem e comercializam softwares legais, tais como barras de ferramentas, downloaders e arquivadores, mas também foi descoberto que essas empresas incorporam PUPs (Programas potencialmente indesejados) em suas versões “Gratuitas”. Seus softwares são assinados digitalmente com certificados emitidos por CAs adequadas.
Certificados fraudulentos vendidos na Deep Web
A Trend Micro descobriu propagandas no mercado ilegal, tal como anúncios em fóruns e lojas na deep web, que vendem certificados falsificados. As propagandas no mercado ilegal mostram que os cibercriminosos sabem o quanto é útil o mecanismo de code signing nas campanhas de malware.
O code signing é uma técnica muito eficiente na defesa contra malwares, mas como revelou a pesquisa da Trend Micro, não é infalível e pode ser utilizado para fins ilícitos. Usuários e empresas devem avaliar cuidadosamente qualquer software instalado em seu sistema, além das precauções padrões, como atualização dos sistemas operacionais e implementação de soluções de cibersegurança.
Ainda assim, vários arquivos de software originados por sites impopulares ainda estão sem rótulo e permanecem como ameaças desconhecidas ou indefinidas.
