Stuxnet отлично использовал законные цифровые сертификаты, чтобы люди подписывались на его вредоносное программное обеспечение. В исследовании, опубликованном в прошлом году, было установлено, что такая практика гораздо более распространена, чем считалось ранее.
Теперь исследователи представили доказательства того, что вредоносное программное обеспечение с цифровой подписью гораздо более распространено, чем считалось ранее. Более того, это предшествовало Stuxnet, с первым известным примером, имевшим место в 2003 году.
Исследователи заявили, что обнаружили 189 образцов вредоносных программ, имеющих действительные цифровые подписи, которые были созданы с использованием скомпрометированных сертификатов, выданных признанными органами сертификации, и используются для подписи законного программного обеспечения. В общей сложности 109 из этих скомпрометированных сертификатов остаются в силе. Исследователи, представившие свои результаты в среду на конференции ACM по безопасности компьютеров и коммуникаций, обнаружили еще 136 образцов вредоносных программ, подписанных законными сертификатами CA, хотя подписи были искажены.
Результаты значительны, поскольку программное обеспечение с цифровой подписью часто может обойти контроль учетных записейпользователей и другие меры Windows, предназначенные для предотвращения установки вредоносного кода. Поддельные подписи также представляют собой серьезное нарушение доверия, поскольку сертификаты предоставляют то, что должно быть неприступной гарантией для конечных пользователей, что программное обеспечение было разработано компанией, указанной в сертификате, и не было изменено кем-либо еще. Подделки также позволяют вредоносным программам избегать защиты от вирусов. Удивительно, но слабые места в большинстве доступных антивирусных программ не позволяли им обнаруживать известную вредоносную программу, которая была подписана цифровой подписью, даже несмотря на то, что подписи недействительны.
Источник: Signed Malware — Schneier on Security