Windows Malware

Computerschädlinge

Windows Malware mit gültiger digitaler Signatur erkannt In einer Untersuchung werden vier Provider ermittelt, von denen einer auch einen Online-Shop unterhält. Wissenschaftler der Masaryk University in der Tschechische Republik und des Cybersecurity Center (MCC) an der University of Maryland haben mehrere Malware-Programme für Windows gefunden, die mit einer validen Digitalsignatur ausgestattet wurden. Die Wissenschaftler wollten mit ihrer Untersuchung den unterirdischen Handel mit validen Software-Zertifikaten ausleuchten, um dessen Umfang besser abschätzen zu können.

Dazu wurden auch beispielhaft unterschriebene Malware untersucht, um die Anforderungen an Code Signing-Zertifikate zu bewerten. Die Wissenschaftler entdeckten einen bedeutenden Trend: Die digitalen Zertifizierungen für Malware kommen nicht mehr von bisher kompromittierten Herstellern, sondern von einem soliden Underground-Markt für Malware-Autoren. "Missbrauchszertifikate repräsentieren ein neues Marktsegment der Schattenwirtschaft", heisst es in der Untersuchung (PDF).

Mit Zertifikaten sollen in erster Linie Malware-Autoren dabei unterstützt werden, die Sicherheitstechnologie von Microsoft für Verteidiger Smart-Screen zu umfahren. Laut der Untersuchung sind Microsoft Authenticode Zertifizierungen zur Signatur deinstallierter ausführbarer Programme ein angemessenes Tool für Internetkriminelle, da sie den Mißbrauch aufgrund bestimmter Merkmale fördern. Missbräuchliche Zertifizierungen können nach Ansicht der Forscher nicht durch gezielte Netzwerk-Scans erkannt werden.

Im Rahmen der Untersuchung überprüften die Wissenschaftlerinnen und Wissenschaftler knapp 2,12 Mio. Akten, von denen mehr als 188.000 als gesundheitsschädlich klassifiziert wurden. Der Preis für die Zertifizierungen in englischsprachigen und russischsprachigen Underground-Foren lag zwischen $350 und $7000, abhängig von der Zertifikatsart und der Reputation von SmartScreen. "Das Ergebnis zeigt, dass es für Spezialanbieter möglich ist, ein zuverlässiges Verfahren zur Beschaffung von Code Signing-Zertifikaten von Zertifizierungsstellen zu etablieren", so das Ergebnis der Untersuchung.

"Der Umsatz der mit Zertifikat geprüften Provider ist jedoch relativ beherrschbar. Als erfolgreichster Studienanbieter, der als einziger über einen eigenen Online-Shop verfügt, setzt er durchschnittlich mehr als zehn Stücke im Gesamtwert von rund 16.150 Euro pro Jahr ab. Nahezu die HÃ?lfte dieser Zertifizierungen wurde innerhalb eines Verkaufsmonats zum Signieren von Malware eingesetzt.