Doppelt so viele digitale Zertifikate zur Signierung von Schadprogrammen
Kaspersky: Falsche Zertifikate schleusen Malware in das Firmennetzwerk
Nach Erkenntnissen von Kaspersky Lab hat sich die Anzahl nicht vertrauenswürdiger Zertifikate zur Signierung von Schadprogrammen im Jahr 2014 im Vergleich zum Vorjahr verdoppelt. So enthielt die Antiviren-Datenbank des IT-Sicherheitsexperten Ende des vergangenen Jahres mehr als 6.000 nicht vertrauenswürdige und daher gefährliche Zertifikate. Kaspersky Lab empfiehlt Unternehmen und Systemadministratoren, digitalen Zertifikaten niemals uneingeschränkt zu vertrauen. Außerdem sollte der Start von signierten Dateien ausschließlich auf Basis der Signaturstärke verhindert werden.
„Virenschreiber stehlen und imitieren gültige Signaturen, um Nutzern und Antiviren-Lösungen vorzugaukeln, eine Datei sei sicher“, so Holger Suhl, General Manager DACH bei Kaspersky Lab. „Kaspersky Lab beobachtet diese Methode bereits seit einigen Jahren – vor allem bei Advanced Persistent Threats.“
Wirelurker: Angriff oder Angriffstest?
BSI-Zertifizierung für Firewall-/VPN-Appliance
E-Mail-Sicherheit auf hohem Niveau
Es gibt zahlreiche Beispiele, wie Cyberattacken auf Basis gestohlener oder gefälschter Zertifikate erfolgten. So nutzte der berüchtigte Stuxnet-Wurm von Realtek und Jmicron gestohlene Zertifikate. Die Akteure der Cyberkampagne Winnti entwendeten Zertifikate, die von kompromittierten Unternehmen aus dem Gaming-Bereich stammten, und setzten diese dann für neue Attacken ein.
Dieselben Zertifikate wurden auch bei Angriffen von chinesischen Hacker-Gruppen verwendet – ein Hinweis darauf, dass diese im Cyberuntergrund angeboten wurden. Die Hintermänner der Cyberspionagekampagne Darkhotel signierten ihre Backdoor-Programme mit digitalen Zertifikaten. Sie hatten offensichtlich Zugang zu den geheimen Schlüsseln, die für die Herstellung gefälschter Zertifikate benötigt werden.
Sicherheitstipps:
Unternehmen sollten die Kontrolle über signierte Dateien mittels Antiviren-Schutzlösungen sowie Sicherheitsrichtlinien optimieren. So wird das Risiko einer Infizierung über Zertifikattäuschungen verringert:
Der Start von Programmen, die von unbekannten Softwareanbietern digital signiert wurden, sollte generell verboten werden. Die meisten Zertifikate werden von kleinen Entwicklerfirmen gestohlen.
Tauchen Zertifikate unbekannter Zertifizierungsstellen auf, sollten diese nicht im Speicher installiert werden.
Systemadministratoren sollten den Start von Programmen nicht gestatten, die ausschließlich auf Basis des Zertifikatnamens vertrauenswürdiger Zertifikate signiert sind. Weitere Parameter wie Seriennummer und Fingerabdruck des Zertifikats (Hash-Summe) sollten immer mit zur Überprüfung gehören.
Das Microsoft MS13-098 Update sollte installiert sein.
Unternehmen sollten IT-Sicherheitslösungen einsetzen, die eine eigene Datenbank mit vertrauenswürdigen und nicht vertrauenswürdigen Zertifikaten besitzen.
Weitere Informationen zum Thema bietet der folgende Blogbeitrag:
www.viruslist.com/de/weblog?weblogid=207320060
Lesen Sie mehr zum Thema
