Étude IBM: Les malware signés sont en constante augmentation

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 95534
Inscription : 10 sept. 2005 13:57
Contact :

Étude IBM: Les malware signés sont en constante augmentation

Message par Malekal_morte » 10 sept. 2015 21:18

IBM a publié sur le portail Security Intelligence un sujet intitulé Certificates-as-a-Service ? Code Signing Certs Become Popular Cybercrime Commodity qui aborde les signatures numériques.

La signature numérique des fichiers fonctionne un peu comme la certification SSL des domaines, elle permet entre autre de :
  • s'assurer de la source d'un fichier
  • s'assurer qu'il n'a pas été altéré/modifié
Plus de détails : Signature numérique des fichiers sur Windows et sécurité

Exemple, un fichier système Windows sain peut-être signé par la société Microsoft.
Si celui-ci est altéré, sa signature ne sera plus valide et sa vérification va échouer.
En résumé, ça permet de détecter une éventuellement modification des fichiers.

Derrière ces mécanismes, il y a du business, notamment le marché des certificats. Ces pratiques / usages engendre des couts. Dans la pratique conventionnelle, une entreprise doit d'abord acquérir un certificat afin de pouvoir signer ses fichiers. Les autres parties auront ainsi la garantie que les fichiers signés proviennent de l'entreprise et qu'ils n'ont pas été altérés dans l'espace et dans le temps. La signature numérique peut-être également utilisée dans un rôle lié à la réputation des fichiers, exemple : SmartScreen.

Si vous avez compris, en théorie les fichiers malicieux ne devraient pas être signés ?
Les certificats étant délivrés, au compte-goutte, il ne devrait y avoir aucun problème.
C'est bien beau sur le papier mais dans la pratique les choses sont assez différentes.

De nombreux processus accordent plus de confiance aux fichiers signés.
Exemple: Le cas des pilotes ( drivers ) signés sur Windows.

Si un tiers signe des fichiers à la place d'une personne légitime : "GAMEOVER"

Exemple d'un code malveillant avec signature valide détecté:

Image

Image

Dans le cas Moidirat.A, il semblerait que ce soit un vol de certificat qui a permis de signer le code malveillant.

Les éditeurs de sécurité s'alarment de l'augmentation du volume de maliciels signés depuis plusieurs années. Un article de SecureList intitulé Why You Shouldn't Completely Trust Files Signed with Digital Certificates ou "Pourquoi vous ne devriez pas avoir une confiance aveugle face aux fichiers signés avec des certificats numériques" explique le phénomène.

Image

En 2008, Kaspersky a été capable de détecté ~1500 malware signés. En 2014, il y en avait + de 6000.

Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires, utilise régulièrement des signatures, nous l'avions signalé lors des : Campagnes Dridex - documents Microsoft Word & Excel piégés. Plusieurs éditeurs avaient par la suite émis d'autres alertes : Signed Dridex Campaign.

Image

Début septembre 2015, Carperb ( Carbanak : financial APT ), aussi spécialisé dans le vol de données bancaires a beaucoup fait parler de lui. Pour de plus amples détails, compulser l'article Carbanak returns de Peter Kruse & Yurii Khvyl publié sur le blog CSIS. Notons qu'en 2014, Brian Krebs avait publié Gang hacked ATMs from inside banks.

Image

D'un point de vue tactique, il n'est pas rare d'observer des cas de codes offensifs sophistiqués avec fichiers signés. C'était le cas des sabotages lors de l'opération Olympic Games avec le ver informatique Stuxnet qui ciblait les centrifugeuses pour ralentir le développement du programme nucléaire iranien.

Certains codes destructeurs et autres rançongiciels chiffreurs ( qui prennent en otage les données ) utilisent parfois des binaires signés. C'est le cas de Cryptowall.

Il y a également les cas des PUPs / Adwares qui sont pour la plupart du temps signés. Et pour cause, ces opportunistes n'ont aucun mal à en acquérir puisque les éditeurs de PUPs sont des entreprises comme les autres. Elles se positionnent simplement avec des pratiques "sur le fil du rasoir", souvent à la limite du droit.

Il y a toujours eu un marché noir des certificats mais il prends de l'ampleur et commence à muter, d'où l'apparition du Certificates-as-a-Service. La demande de certificats est forte. Les offreurs sont des criminels spécialisés dans la revente de certificats pour permettre à d'autres cybercriminels de signer leurs codes malveillants. Leurs techniques sont variées, ça va des vols à l'obtention légale mais détournée, exemple créer de fausses entreprises. Certains adversaires ont déjà prouvés qu'ils pouvaient conduire des attaques ingénieuses et atteindre n'importe qui. Y compris, aux maillons forts de la pseudo-confiance, comme ce fût le cas dans des affaires similaires, tels que DigiNotar, Comodo, ... et bien d'autres, non officiellement révélées.

Pour terminer sur une pointe d'ironie, voici un cas de faux "crack" qui en réalité installe des PUPs qui est signé par LLC `FOTO-TSENTR` dont le signataire n'est autre que Symantec.

Image


Enfin concernant l'utilisation de fichiers signés par les malwares, voir aussi la page : Signature numérique et malware

[size]EDIT 2018 : toujours en hausse[/size]

Trend-Micro a sortie une étude, j'en parle à la fin de la page : Signature numérique des fichiers sur Windows et sécurité.
Les signatures numériques sont très utilisés par les PUPs & Adwares.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95534
Inscription : 10 sept. 2005 13:57
Contact :

Re: Étude IBM: Les malware signés sont en constante augmenta

Message par Malekal_morte » 08 mars 2016 09:52

J'avais oublié que j'avais aussi fait cet article qui date de 2012... : Signature numérique et malware.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 95534
Inscription : 10 sept. 2005 13:57
Contact :

Re: Étude IBM: Les malware signés sont en constante augmenta

Message par Malekal_morte » 11 juin 2016 13:27

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »