Ransomware-Bande missbraucht Microsoft-Zertifikate zum Signieren von Malware
Ein aktueller Bericht von Sicherheitsforschern hat aufgedeckt, dass eine Ransomware-Bande Microsoft-Zertifikate missbraucht hat, um ihre Malware zu signieren und der Entdeckung zu entgehen. Die Bande, bekannt als Conti, ist eine der aktivsten und produktivsten Ransomware-Gruppen der Welt, die für Hunderte von Angriffen auf Unternehmen in einer Reihe von Branchen verantwortlich ist.
Dem Bericht zufolge hat Conti eine Technik namens «Certificate Spoofing» verwendet, um seine Malware wie legitime Microsoft-Software aussehen zu lassen. Beim Zertifikats-Spoofing wird die digitale Signatur einer Datei so manipuliert, dass es so aussieht, als sei sie von einer vertrauenswürdigen Stelle signiert worden. In diesem Fall war Conti in der Lage, das Zertifikat von Microsoft Windows Defender, der in Windows integrierten Antiviren-Software, zu fälschen.
Auf diese Weise war Conti in der Lage, die Sicherheitskontrollen von Windows Defender und anderen Antivirenprodukten zu umgehen, die sich auf die Validierung von Zertifikaten verlassen. Dadurch konnten sie ihre Ransomware-Nutzlast ausführen, ohne vom System entdeckt oder blockiert zu werden. Der Bericht stellte außerdem fest, dass Conti einen benutzerdefinierten Packer verwendete, um seinen Malware-Code zu verschleiern und eine statische Analyse zu vermeiden.
Die Forscher warnten, dass das Spoofing von Zertifikaten eine ernsthafte Bedrohung darstellt, die das Vertrauen und die Sicherheit von digitalen Zertifikaten untergraben kann. Sie rieten Organisationen, mehrere Verteidigungsschichten zu implementieren, wie z.B. Verhaltensanalyse, Netzwerküberwachung und Endpunkt-Erkennung und -Reaktion, um sich vor Ransomware-Angriffen zu schützen. Sie empfahlen Microsoft außerdem, gefälschte Zertifikate zu widerrufen und seinen Signaturprüfungsprozess zu aktualisieren, um zukünftigen Missbrauch zu verhindern.
Ein neuer Bericht zeigt, wie eine als «Kuba» bekannte Ransomware-Gruppe Microsoft-zertifizierte Malware ausnutzt, um Cyberangriffe auf verschiedene Organisationen in den USA und anderen Ländern zu starten. und andere Länder. Die Gruppe, die vermutlich von Russland aus operiert, ist seit mindestens 2020 aktiv und hat es auf Sektoren wie das Gesundheitswesen, das Bildungswesen und die Industrie abgesehen. Dem Bericht zufolge hat Kuba Malware verwendet, die mit gültigen Microsoft-Zertifikaten signiert ist. Das bedeutet, dass die Malware einige Sicherheitskontrollen umgehen kann und potenziellen Opfern vertrauenswürdiger erscheint. Der Bericht enthält auch technische Details darüber, wie die Malware funktioniert und wie sie Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für deren Wiederherstellung fordert. Der Bericht warnt davor, dass Kuba seine bösartigen Aktivitäten wahrscheinlich fortsetzen wird und rät Organisationen, vorbeugende Maßnahmen zu ergreifen, um ihre Netzwerke und Daten vor Ransomware-Angriffen zu schützen.
Code Signing ist ein wichtiger Prozess, der die Authentizität und Integrität von Software überprüft. Dabei wird ein kryptografisches Zertifikat verwendet, das von einer vertrauenswürdigen Stelle ausgestellt wurde, um die Software digital zu signieren. Auf diese Weise können Benutzer sicher sein, dass die Software, die sie herunterladen oder installieren, aus einer legitimen Quelle stammt und nicht manipuliert wurde.
Code Signing ist jedoch nicht immun gegen Angriffe. Cyberkriminelle können Schwachstellen in der Code Signing-Infrastruktur ausnutzen, z. B. durch Diebstahl oder Fälschung von Zertifikaten, Kompromittierung von Signing-Servern oder Missbrauch von legitimen Diensten, um ihre Malware zu signieren. Auf diese Weise können sie Sicherheitsvorkehrungen umgehen und Benutzer dazu verleiten, ihrer Malware zu vertrauen.
Ein Beispiel für diese Bedrohung ist die jüngste Entdeckung von Google, dass einige Android-Apps, die über Drittanbieterkanäle vertrieben wurden, mit kompromittierten Plattformzertifikaten signiert waren. Diese Zertifikate werden von Android-Geräteherstellern verwaltet und zum Signieren von Systemkomponenten und vorinstallierten Apps verwendet. Einige der bösartigen Apps enthielten Teile der Manuscrypt-Malware, die mit nordkoreanischen Hackern in Verbindung gebracht wird, die es auf Kryptowährungsplattformen abgesehen haben.
Ein weiteres Beispiel ist die Beobachtung von Mandiant, dass einige Ransomware-Gruppen einen weit verbreiteten kriminellen Dienst für das Signieren von Code nutzen. Der Dienst stellt Bedrohungsakteuren gestohlene oder in betrügerischer Absicht erlangte Zertifikate oder Signierungsdienste gegen eine Gebühr zur Verfügung. Dadurch können sie die Endpunkt-Erkennungs- und Reaktionsprodukte verschiedener Anbieter umgehen.
Diese Vorfälle machen deutlich, dass erhöhte Wachsamkeit und Schutz vor Code-Signing-Angriffen erforderlich sind. Die Sicherheitsgemeinschaft muss sich dieser aufkommenden Bedrohung bewusst sein und zusätzliche Sicherheitsmaßnahmen ergreifen, wie z.B. die Überprüfung der Reputation und der Gültigkeit von Zertifikaten, die Überwachung von Code Signing-Aktivitäten und Anomalien sowie die Verwendung mehrerer Verteidigungsschichten. Außerdem könnte es sein, dass in Zukunft mehr Angreifer versuchen werden, diese Art von Angriffen zu kopieren.
