Apa itu Malware yang Ditanda-Kode dan Bagaimana Anda Menghindarinya?

Iklan

Penandatanganan kode adalah praktik penandatanganan secara kriptografis suatu perangkat lunak sehingga sistem operasi dan penggunanya dapat memverifikasi bahwa ia aman. Penandatanganan kode berfungsi dengan baik, pada umumnya. Sebagian besar waktu, hanya perangkat lunak yang benar menggunakan tanda tangan kriptografi yang sesuai.

Pengguna dapat mengunduh dan menginstal dengan aman, dan pengembang melindungi reputasi produk mereka. Namun, peretas dan distributor malware menggunakan sistem yang tepat untuk membantu kode berbahaya lolos dari paket antivirus dan program keamanan lainnya.

Bagaimana cara kerja malware dan ransomware yang ditandatangani oleh kode?

Apa itu Malware yang Ditandatangani Kode?

Ketika perangkat lunak ditandatangani dengan kode, itu berarti perangkat lunak itu membawa tanda tangan kriptografi resmi. Certificate Authority (CA) mengeluarkan perangkat lunak dengan sertifikat yang mengkonfirmasi bahwa perangkat lunak tersebut sah dan aman untuk digunakan.

Lebih baik lagi, sistem operasi Anda menangani sertifikat, memeriksa kode, dan verifikasi, sehingga Anda tidak perlu khawatir. Misalnya, Windows menggunakan apa yang dikenal sebagai

rantai sertifikat. Rantai sertifikat terdiri dari semua sertifikat yang diperlukan untuk memastikan perangkat lunak itu sah pada setiap langkah.

“Rantai sertifikat terdiri dari semua sertifikat yang diperlukan untuk mengesahkan subjek yang diidentifikasi oleh sertifikat akhir. Dalam praktiknya, ini termasuk sertifikat akhir, sertifikat CA perantara, dan sertifikat CA akar yang dipercayai oleh semua pihak dalam rantai. Setiap CA perantara dalam rantai memegang sertifikat yang dikeluarkan oleh CA satu tingkat di atasnya dalam hierarki kepercayaan. Root CA mengeluarkan sertifikat untuk dirinya sendiri. "

Saat sistem bekerja, Anda dapat mempercayai perangkat lunak. CA dan sistem penandatanganan kode membutuhkan kepercayaan yang sangat besar. Dengan ekstensi, malware berbahaya, tidak dapat dipercaya, dan seharusnya tidak memiliki akses ke Otoritas Sertifikat atau penandatanganan kode. Untungnya, dalam praktiknya, itulah cara sistem bekerja.

Sampai pengembang malware dan peretas menemukan jalan keluar, tentu saja.

Peretas Mencuri Sertifikat Dari Otoritas Sertifikat

Antivirus Anda tahu bahwa malware berbahaya karena memiliki efek negatif pada sistem Anda. Ini memicu peringatan, pengguna melaporkan masalah, dan antivirus dapat membuat tanda tangan malware untuk melindungi komputer lain menggunakan alat antivirus yang sama.

Namun, jika pengembang malware dapat menandatangani kode berbahaya mereka menggunakan tanda tangan kriptografi resmi, tidak ada yang akan terjadi. Sebaliknya, malware yang ditandatangani kode akan berjalan melalui pintu depan saat antivirus Anda dan sistem operasi meluncurkan karpet merah.

Penelitian tren mikro menemukan bahwa ada seluruh pasar malware yang mendukung pengembangan dan distribusi malware yang ditandatangani kode. Operator malware mendapatkan akses ke sertifikat yang sah yang mereka gunakan untuk menandatangani kode berbahaya. Tabel berikut menunjukkan volume malware yang menggunakan penandatanganan kode untuk menghindari antivirus, pada April 2018.

Penelitian Trend Micro menemukan bahwa sekitar 66 persen dari sampel malware telah ditandatangani kode. Selain itu, beberapa jenis malware datang dengan lebih banyak contoh penandatanganan kode, seperti Trojan, droppers, dan ransomware. (Di sini adalah tujuh cara untuk menghindari serangan ransomware 7 Cara untuk Menghindari Dipukul oleh RansomwareRansomware benar-benar dapat menghancurkan hidup Anda. Apakah Anda melakukan cukup banyak hal untuk menghindari kehilangan data pribadi dan foto karena pemerasan digital? Baca lebih banyak !)

Dari Mana Datangnya Sertifikat Penandatanganan Kode?

Distributor dan pengembang malware memiliki dua opsi terkait kode yang ditandatangani secara resmi. Sertifikat dicuri dari Otoritas Sertifikat (langsung, atau untuk dijual kembali), atau peretas dapat mencoba meniru organisasi yang sah dan memalsukan persyaratan mereka.

Seperti yang Anda harapkan, Otoritas Sertifikat adalah target yang menggoda bagi peretas apa pun.

Bukan hanya peretas yang memicu peningkatan malware yang ditandatangani kode. Diduga vendor yang tidak bermoral dengan akses ke sertifikat yang sah juga menjual sertifikat penandatanganan kode tepercaya kepada pengembang dan distributor malware. Tim peneliti keamanan dari Universitas Masaryk di Republik Ceko dan Maryland Cybersecurity Center (MCC) menemukan empat organisasi yang menjual [PDF] Sertifikat Microsoft Authenticode untuk pembeli anonim.

"Pengukuran ekosistem sertifikat penandatanganan kode Windows baru-baru ini menyoroti berbagai bentuk penyalahgunaan yang memungkinkan penulis malware menghasilkan kode berbahaya yang membawa tanda tangan digital yang valid."

Setelah pengembang malware memiliki sertifikat Microsoft Authenticode, mereka dapat menandatangani malware apa pun dalam upaya untuk meniadakan penandatanganan kode keamanan Windows dan pertahanan berbasis sertifikat.

Dalam kasus lain, alih-alih mencuri sertifikat, peretas akan membahayakan server pembuat perangkat lunak. Ketika versi perangkat lunak baru dirilis ke publik, ia membawa sertifikat yang sah. Tetapi seorang hacker juga dapat memasukkan kode berbahaya mereka dalam proses. Anda dapat membaca tentang contoh terbaru dari jenis serangan di bawah ini.

3 Contoh Malware yang Ditanda-Kode

Jadi, seperti apa bentuk malware yang ditandatangani kode? Berikut adalah tiga contoh malware yang ditandatangani kode:

1. Malware Stuxnet. Malware yang bertanggung jawab untuk menghancurkan program nuklir Iran menggunakan dua sertifikat curian untuk disebarkan, bersama dengan empat eksploitasi nol hari yang berbeda. Sertifikat itu dicuri dari dua perusahaan terpisah — JMicron dan Realtek — yang berbagi satu bangunan. Stuxnet menggunakan sertifikat curian untuk menghindari persyaratan Windows yang baru diperkenalkan bahwa semua driver memerlukan verifikasi (penandatanganan driver).
2. Pelanggaran server Asus. Suatu waktu antara Juni dan November 2018, peretas melanggar server Asus yang digunakan perusahaan untuk mendorong pembaruan perangkat lunak kepada pengguna. Peneliti di Kaspersky Lab menemukan itu di sekitar 500.000 mesin Windows menerima pembaruan berbahaya sebelum orang menyadari. Alih-alih mencuri sertifikat, para peretas menandatangani malware mereka dengan sertifikat digital Asus yang sah sebelum server perangkat lunak mendistribusikan pembaruan sistem. Untungnya, malware itu sangat bertarget, hard-coded untuk mencari 600 mesin tertentu.
3. Malware api. Varian malware modular Flame menargetkan negara-negara Timur Tengah, menggunakan sertifikat yang ditandatangani secara curang untuk menghindari deteksi. (Apa itu malware modular, toh Malware Modular: Serangan Siluman Baru Mencuri Data AndaMalware menjadi semakin sulit dideteksi. Apa itu malware modular, dan bagaimana Anda menghentikannya mendatangkan malapetaka pada PC Anda? Baca lebih banyak ?) Pengembang Flame mengeksploitasi algoritma kriptografi yang lemah untuk secara palsu menandatangani sertifikat penandatanganan kode, membuatnya seolah-olah Microsoft telah menandatanganinya. Tidak seperti Stuxnet yang membawa elemen destruktif, Flame adalah alat untuk spionase, mencari PDF, file AutoCAD, file teks, dan jenis dokumen industri penting lainnya.

Cara Menghindari Malware yang Ditandatangani-Kode

Tiga varian malware yang berbeda, tiga jenis serangan penandatanganan kode. Berita baiknya adalah bahwa sebagian besar malware jenis ini, setidaknya pada saat ini, sangat bertarget.

Sisi buruknya adalah karena tingkat keberhasilan varian malware seperti itu yang menggunakan penandatanganan kode untuk menghindari deteksi, berharap lebih banyak pengembang malware menggunakan teknik untuk memastikan serangan mereka sendiri berhasil

Selain itu, melindungi terhadap malware yang ditandatangani kode sangat sulit. Menjaga sistem dan paket antivirus Anda selalu terbarui sangatlah penting, hindari mengklik tautan yang tidak dikenal, dan periksa ulang di mana ada tautan yang membawa Anda sebelum mengikutinya.

Selain memperbarui antivirus Anda, periksa daftar bagaimana Anda dapat menghindari malware Perangkat Lunak Antivirus Tidak Cukup: 5 Hal Yang Harus Anda Lakukan untuk Menghindari MalwareTetap aman dan terlindungi online setelah menginstal perangkat lunak antivirus dengan mengikuti langkah-langkah ini untuk komputasi yang lebih aman. Baca lebih banyak !