Phần mềm độc hại: sự đáng tin cậy được chứng nhận

Malware:certified trustworthy

22 June 2010, 16:34

Theo:http://www.h-online.com/security/news/item/Malware-certified-trustworthy-1027066.html

Bài được đưa lênInternet ngày: 22/06/2010

Lờingười dịch: Theo nhà cung cấp phần mềm chống virusF-Secure, “số lượng các ví dụ phần mềm độc hạiđược ký số cho Windows đang gia tăng – và ngày càngnhiều chương trình phần mềm đe dọa cũng đưa vào mộtchữ ký số hợp lệ. Các tác giả của virus sử dụngphương pháp này để vượt qua được một loạt nhữngrào cản trong các hệ thống Windows và chặn các cảnh báonhư những thứ được bất khi một chương trình địnhcài đặt một kiểm soát ActiveX trong Internet Explorer, hoặctrước khi cài đặt một trình điều khiển. Danh sách củaF-Secure về các chương trình tiềm tàng không mong muốnchứa gần 400,000 ví dụ được ký số. Về các phần mềmđộc hại, danh sách này vẫn còn bao gồm hầu như 24,000ví dụ” và kiểu giả mạo chữ ký để đưa phần mềmđộc hại vào sẽ trở nên nguy hiểm hơn với Windows 7,“vì phiên bản này dựa nặng hơn vào Authenticode hơn làso với các phiên bản trước của Windows. Trong trườnghợp này, các nhà cung cấp chống virus sẽ cần làm việctrong sự hợp tác gần gũi với Cơ quan Xác thực CA đểđảm bảo rằng các chứng chỉ bị tổn thương và bịsử dụng sai (và cả các khóa) có thể bị cô lập nhanhnhất có thể”. Người sử dụng Windows 7 nên thận trọngđối với những thứ này.

Authenticode được sửdựng cho việc ký và kiểm tra các phần mềm theo Windowsvà có nghĩa là để kiểm tra gốc của phần mềm. Ngườisử dụng có xu huonwgs tin tưởng vào các phần mềm đượcký số. Các phần mềm mà không có chữ ký số sẽ tắtbật một hội thoại mà sẽ chắc chắn hỏi người sửdụng khẳng định trước khi xử lý tiếp với sự càiđặt. Trong các phiên bản 64 bit của Windows 7 và Vista,việc cài đặt một trình điều khiển không được kýlà không thể hoàn toàn, ngay cả nếu một người sửdụng muốn cho nó qua.

F-Secure nói rằng cáctác giả virus sử dụng thành công một loạt các mẹo đểgiành được các chữ ký số hoặc chứng chỉ hợp lệcho các chương trình của họ. Phương pháp tin cậy đượcnhất là làm trò để một Cơ quan Chứng thực CA đưa ramột mã ký chứng chỉ. Dường như là điều này đã trởnên dễ như việc giành được một chứng chỉ SSL hợplệ cho máy chủ – một địa chỉ thư điện tử hợp lệlà đủ. Những giả mạo và bọn tội phạm trên Internetcũng sử dụng những dịch vụ như vậy như Digital River,mà nó ký các phần mềm cho các khách hàng của họ.

Các tác giả củavirus cũng có thể sử dụng không đúng các chứng chỉ bịăn cắp hoặc các khóa cá nhân để ký cho các phần mềmcủa riêng họ. Một loạt các phiên bản của Adrenalin,Ursnif và các họ ZeuS của các botnet được cho là chứacác chức năng cho việc đọc các dữ liệu phù hợp từcác máy tính cá nhân bị lây nhiễm của các lập trìnhviên. Tuy nhiên, cho tới nay F-Secure đã chưa tìm thấy bấtkỳ phần mềm độc hại nào mà thực sự sử dụng mộtkhóa bị ăn cắp trong cơ sở dữ liệu các phần mềm độchại của hãng.

Accordingto anti-virus vendor F-Secure, the number of digitally signedmalware samples for Windows is increasing - and more and morescareware programs also include a valid digital signature. Virusauthors use this method to overcome various hurdles on Windowssystems and suppress alerts such as those triggered when a programattempts to install an ActiveX control in Internet Explorer, orbefore installing a driver. F-Secure's list of potentiallyundesirable programs contains almost 400,000 digitally signedsamples. In terms of malware, the list still includes almost 24,000samples.

Authenticodeis used for signing and checking software under Windows and is meantto verify the origin of software. Users tend to trust digitallysigned software. Software without a digital signature triggers adialogue that explicitly asks the user for confirmation beforeproceeding with the installation. In the 64-bit versions of Windows 7and Vista, installing an unsigned driver isn't possible at all, evenif a user were to wave it through.

F-Securesay that virus authors successfully use various tricks to obtainvalid digital signatures or certificates for their programs. The mostreliable method is to trick a Certificate Authority into issuing acode signing certificate. It seems that this has become just as easyas obtaininga valid SSL server certificate – a valid email address issufficient. Internet frauds and criminals also use such services asDigital River, which sign software for their customers.

Virusauthors can also misuse stolen certificates or private keys to signtheir own software. Various versions of the Adrenalin, Ursnif andZeuS families of botnets are said to contain functions for readingthe relevant data f-rom developers' infected PCs. However, so farF-Secure has not found any malware that actually uses a stolen key inits malware database.

Những gì được xemlà đang xảy ra ngày một thường xuyên hơn là việc mộttrojan lây nhiễm các tệp trong một hệ thống của cáclập trình viên, và rằng toàn bộ gói phần mềm của lậptrình viên chứa trojan đó sau đó được ký và đượctriển khai. Rất thường xuyên, các lập trình viên tạora virus cũng ký các ví dụ của họ bằng các khóa vàchứng chỉ mà họ đã tự ký cho mình, sử dụng nhữngthông tin giả về người phát hành hoặc người sở hữuđể đánh lạc hướng các chương trình và người sửdụng.

F-Secure đánh giá rằngvấn đề này, cho tới nay, chưa đạt tới mức sống cònvì các tác giả virus còn chưa bắt đầu khai thác phươngpháp này trên một diện rộng. Tuynhiên, điều này có thể làm thay đổi bằng sự phổbiến rộng rãi Windows 7, vì phiên bản này dựa nặng hơnvào Authenticode hơn là so với các phiên bản trước củaWindows. Trong trường hợp này, các nhà cung cấp chốngvirus sẽ cần làm việc trong sự hợp tác gần gũi vớiCơ quan Xác thực CA để đảm bảo rằng các chứng chỉbị tổn thương và bị sử dụng sai (và cả các khóa) cóthể bị cô lập nhanh nhất có thể.

Whatdoes seem to happen more and more often is that a trojan infectsfiles on a developer's system, and that the developer's entiresoftware package including the trojan is subsequently signed anddeployed. Very often, virus programmers also sign their samples withkeys and certificates they have signed themselves, using bogusinformation about the issuer or owner to mislead programs and users.

F-secureestimates that the problem has, so far, not reached criticalproportions because virus authors have not yet begun to exploit thismethod on a large scale. However, this could change with thewidespread dissemination of Windows 7, because this version relieseven more heavily on Authenticode than previous versions of Windows.In this case, anti-virus vendors will need to work in closecooperation with the Certificate Authorities to ensure thatcompromised and misused certificates (and keys) can be blocked asquickly as possible.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com