Tin tặc lợi dụng chứng thực số để che giấu mã độc khỏi các ứng dụng kiểm tra

10:00 | 16/11/2017 | HACKER / MALWARE

Theo một nghiên cứu mới đây, tin tặc sử dụng rộng rãi các chứng thực số bị đánh cắp để che giấu mã độc.

Tin tặc lợi dụng chứng thực số để che giấu mã độc khỏi các ứng dụng kiểm tra

Các nhà nghiên cứu tại trường đại học Maryland (Mỹ) đã tìm thấy 72 chứng thực bị đánh cắp sau khi phân tích dữ liệu do Symantec thu thập từ 11 triệu máy chủ trên toàn thế giới.

Các mã độc được ký bằng chứng thực số có thể qua mặt cơ chế bảo vệ dựa trên ký số xác nhận ứng dụng (code signing). Chứng thực số code-signing vốn là công cụ giúp kiểm tra tính hợp pháp và toàn vẹn của các ứng dụng máy tính, nhưng tội phạm mạng lại đang lợi dụng các chứng thực bị đánh cắp để cài mã độc vào hệ thống mạng của các doanh nghiệp và thiết bị của người dùng. Cách làm này không chỉ áp dụng dụng với những loại mã độc cao cấp như Stuxnet hay loại mã độc lây nhiễm vào CCleaner gần đây.

Tudor Dumitras, một trong các nhà nghiên cứu, nói rằng: phần lớn các trường hợp này chưa từng được biết tới và 2/3 trong số các mã độc được ký bằng 72 chứng thực đó vẫn còn hiệu lực, việc kiểm tra chữ ký số không phát hiện bất kỳ lỗi nào.

Các chứng thực số bị đánh cắp dường như đã phổ biến trên thế giới từ trước khi sâu Stuxnet xuất hiện và chúng không chỉ liên quan tới những mối đe doạ cao cấp do các chính phủ phát triển. Các nhà nghiên cứu đã phát hiện các chứng thực số này được cấp phát cho kẻ xấu giả danh những công ty có thật, nhưng không phát triển phần mềm và cũng không có nhu cầu sử dụng chứng thực code-signing, chẳng hạn như một dịch vụ chuyển hàng ở Hàn Quốc.

Các chuyên gia tại Trung tâm an ninh mạng Maryland phát hiện ra rằng, chỉ cần đính một chữ ký số dạng authenticode của một ứng dụng hợp lệ vào một mã độc, cũng có thể khiến phần mềm chống virus không kiểm tra mã độc đó nữa. Lỗi này ảnh hưởng tới 34 phần mềm diệt virus, với các mức độ khác nhau. Những kẻ tạo ra mã độc không cần đến một chứng thực dùng cho code-signing.

Bên cạnh tài liệu sẽ được trình bày tại hội thảo CCS ở Dallas, các nhà nghiên cứu còn dự định công bố danh sách các chứng thực số bị lợi dụng tại địa chỉ signedmalware.org.

Một nghiên cứu khác của Cyber Security Research Institute (CSRI) cho biết chứng thực số code-signing chưa được phát hiện có thể mua trên các trang web ẩn với giá lên tới 1.200 USD.

Ông Peter Warren, Chủ tịch của CSRI nói rằng: cách đây nhiều năm, tội phạm mạng thường xuyên tìm kiếm chứng thực số code-signing để phát tán mã độc vào các máy tính. Một thị trường mua bán chứng thực số của tội phạm khiến toàn bộ hệ thống các chứng thực cho Internet trở nên đáng nghi và sự việc triển khai các hệ thống kỹ thuật nhằm chống lại việc sử dụng chứng thực số cho các mục đích sai trái trở nên cấp thiết.

(theo The Register)

‹ › ×

Tin liên quan

Công tác kiểm tra, đánh giá tình hình ứng dụng chữ ký số chuyên dùng chính phủ năm 2023

10:00 | 05/02/2024

Kiểm tra, đánh giá tình hình ứng dụng chữ ký số trong hoạt động của cơ quan nhà nước là công tác có ý nghĩa hết sức quan trọng, không thể thiếu, góp phần thực hiện tốt nhiệm vụ quản lý nhà nước về lĩnh vực chữ ký số chuyên dùng Chính phủ. Thông qua kết quả kiểm tra, đánh giá của Đoàn công tác Ban Cơ yếu Chính phủ, bài báo sẽ cung cấp đến độc giả thực trạng tình hình ứng dụng chữ ký số chuyên dùng Chính phủ tại một số địa phương, đồng thời đưa ra những tồn tại, khó khăn, vướng mắc trong công tác quản lý, triển khai sử dụng, từ đó có biện pháp khắc phục, hướng dẫn, điều chỉnh bảo đảm đúng quy định, chặt chẽ và hiệu quả.

Nâng cao kỹ năng ứng dụng CNTT cho cán bộ chuyên trách CNTT trong Hệ thống Học viện Chính trị quốc gia Hồ Chí Minh

09:00 | 16/08/2023

Sáng 14/8, tại Hà Nội, Học viện Chính trị quốc gia Hồ Chí Minh đã phối hợp với Ban Cơ yếu Chính phủ mở lớp nâng cao kỹ năng ứng dụng CNTT dành cho cán bộ chuyên trách CNTT trong Hệ thống Học viện Chính trị quốc gia Hồ Chí Minh.

Tin tặc có thể truy cập loa thông minh

16:00 | 04/01/2018

Theo trang tin tức công nghệ Neowin (Anh), trong một nghiên cứu để tìm kiếm lỗ hổng trên các thiết bị thông minh, các nhà nghiên cứu tại Trend Micro đã phát hiện ra 2 loa thông minh chứa lỗ hổng quan trọng cho phép tin tặc khai thác, đó là Sonos Play:One và Bose SoundTouch.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).