Κατά την τελευταία περίοδο, έχουμε ακούσει για πολλές επιθέσεις με κακόβουλο λογισμικό στο οποίο κυβερνοεγκληματίες υπογράφουν με έγκυρα ψηφιακά πιστοποιητικά σε μια προσπάθεια να διασφαλίσουν ότι το έργο τους θα παραμείνει απαρατήρητο. Εμπειρογνώμονες της Symantec ανέλυσαν το πώς οι επιτιθέμενοι καταφέρνουν να κλέψουν ιδιωτικά κλειδιά, με το κακόβουλο λογισμικό τους.

Οι ειδικοί εξηγούν ότι είναι σχεδόν αδύνατο για κάποιον hacker χωρίς τα απαραίτητα εργαλεία να περάσει μέσα σε έναν υπολογιστή για να ελέγξει αν έχει ιδιωτικά κλειδιά έγκυρων ψηφιακών πιστοποιητικών.

Ωστόσο, ένα κακόβουλο λογισμικό μπορεί να ανακτήσει εύκολα τα πολύτιμα δεδομένα μιας μολυσμένης συσκευής.

Τα πιο κοινά malware που χρησιμοποιούν για αυτή τη δουλειά είναι τα παρακάτω

Backdoor.Beasty, Infostealer.Snifula, Downloader.Parshell, Trojan.Spyeye, W32.Cridex, W32.Qakbot, Infostealer.Shiz, Trojan.Carberp and Trojan.Zbot (γνωστό και σαν ZeuS).

Τα περισσότερα από αυτά έχουν εντοπιστεί σε υπολογιστές που βρίσκονται στις Ηνωμένες Πολιτείες.

Πώς όμως το κακόβουλο λογισμικό εξάγει τα ψηφιακά πιστοποιητικά;

Συνήθως, τα ψηφιακά πιστοποιητικά φυλάσσονται στον ειδικό χώρο αποθήκευσης πιστοποιητικών των Windows. Από εδώ, μπορούν να εξαχθούν με τη χρήση λειτουργιών όπως τη PFXExportCertStoreEx. Για την εξαγωγή ενός ιδιωτικού κλειδιού, χρησιμοποιείται η επιλογή EXPORT_PRIVATE_KEYS.

Αυτή η λειτουργία εξάγει τις πληροφορίες σε ένα αρχείο .Pfx, το οποίο συχνά κρυπτογραφείται από τους εγκληματίες του κυβερνοχώρου.

Τα περισσότερα malware αρχίζουν τη κλοπή ψηφιακών πιστοποιητικών μόλις ξεκινήσει ο υπολογιστής, αλλά μερικά από αυτά περιμένουν την εντολή του εισβολέα.

Μόλις αποκτήσουν πρόσβαση σε ιδιωτικά κλειδιά, οι κυβερνοεγκληματίες μπορούν να υπογράφουν τα κακόβουλα έργα τους, χρησιμοποιώντας προγράμματα που κυκλοφορούν ελεύθερα όπως το “Sign Tool.”

Προκειμένου να αποφευχθεί η κλοπή των ιδιωτικών κλειδιών, οι εταιρίες καλούνται να τα κρατήσουν σε ένα δίκτυο που είναι ξεχωριστό από το εσωτερικό δίκτυο της εταιρείας. Επιπλέον, οι προγραμματιστές θα πρέπει να χρησιμοποιούν test certificates για νέες εφαρμογές.

Γενικά δεν συνιστάται ψηφιακά πιστοποιητικά και ιδιωτικά κλειδιά να αποθηκεύονται σε υπολογιστές. Θα πρέπει να κλειδωθούν σε ένα ασφαλές μέρος όπως σε κάρτες IC, USB tokens, ή ξεχωριστά hardware ασφαλείας. Αν αυτό δεν είναι δυνατό, θα πρέπει τουλάχιστον να αρχειοθετούνται και να προστατεύονται με έναν ισχυρό κωδικό πρόσβασης.

Τέλος, οι ειδικοί συμβουλεύουν τις εταιρείες να αποφεύγουν όσο το δυνατόν περισσότερο την αποθήκευση τους σε φορητά μέσα.