コード署名されたマルウェアとは何ですか?またそれを回避する方法は何ですか?

コード署名は、オペレーティングシステムとユーザーがソフトウェアの安全性を判断できるように、ソフトウェアに証明書ベースのデジタル署名を使用する方法です。適切なソフトウェアのみが、対応するデジタル署名を使用できます。

ユーザーはソフトウェアを安全にダウンロードしてインストールでき、開発者はコード署名によって製品の評判を保護できます。しかし、ハッカーやマルウェア配布者は、まさにそのシステムを使用して、ウイルス対策スイートやその他のセキュリティプログラムを通じて悪意のあるコードを入手しています。では、コード署名されたマルウェアとは何ですか?また、どのように機能するのでしょうか?

コード署名されたマルウェアとは何ですか?

ソフトウェアがデジタル署名されている場合、それは公式のデジタル署名があることを意味します。認証局は、ソフトウェアが合法で安全に使用できることを判断するために、ソフトウェアに証明書を発行します。

オペレーティングシステムが証明書をチェックしてデジタル署名を検証するため、ユーザーは心配する必要はありません。たとえば、Windows は、ソフトウェアが正規であることを確認するために必要なすべての証明書を含む証明書チェーンを使用します。

証明書チェーンには、最終証明書によって識別されるエンティティを証明するために必要なすべての証明書が含まれています。実際、これは、端末証明書、中間 CA 証明書、およびチェーン内のすべての関係者によって信頼されるルート CA 証明書で構成されます。チェーン内の各中間 CA 証明書には、その 1 つ上のレベルの CA によって発行された証明書が含まれています。ルート CA はそれ自体の証明書を発行します。

システムが稼働したら、ソフトウェア、コード署名システム、および CA を信頼できます。マルウェアは悪意のあるソフトウェアであり、信頼されておらず、認証局やコード署名にアクセスできません。

ハッカーが認証局から証明書を盗む

ウイルス対策ソフトウェアは、システムに悪影響を与えるため、マルウェアが悪意のあるものであることを認識します。これにより警告がトリガーされ、ユーザーは問題を報告し、ウイルス対策ソフトウェアは同じウイルス対策エンジンを使用して他のコンピューターを保護するマルウェアシグネチャを作成できます。

ただし、マルウェア作成者が公式のデジタル署名を使用してマルウェアに署名できれば、上記のプロセスは発生しません。代わりに、ウイルス対策ソフトウェアとオペレーティングシステムが危険なものを検出しないため、コードで署名されたマルウェアが正規のルートを通じてシステムに侵入する可能性があります。

トレンドマイクロの調査によると、マルウェア市場全体が、コード署名されたマルウェアの開発と配布のサポートに焦点を当てています。マルウェアオペレーターは、悪意のあるコードの署名に使用される有効な証明書にアクセスできます。以下の表は、2018 年 4 月以降、コード署名を使用してウイルス対策ソフトウェアを回避するマルウェアの量を示しています。

コード署名されたマルウェアとは何ですか?またそれを回避する方法は何ですか?

トレンドマイクロの調査では、マルウェアの約 66% がデジタル署名を持っていることも示しています。さらに、トロイの木馬、ドロッパー、ランサムウェアなど、複数のバージョンのデジタル署名を持つ特定の種類のマルウェアもいくつかあります。

コード署名デジタル証明書はどこから来たものですか?

マルウェアの配布者と開発者がコード署名されたマルウェアを作成するには 2 つの方法があります。彼らは、直接、または正規の組織を取得またはなりすまして、CA に証明書を要求することによって、認証局から証明書を盗みます。

ご覧のとおり、ハッカーの標的となるのは CA だけではありません。正規の証明書にアクセスできる配布者は、信頼できるデジタル署名付き証明書をマルウェア開発者や配布者に販売できます。

チェコ共和国のマサリク大学とメリーランド州サイバーセキュリティセンターのセキュリティ研究チームは、Microsoft Authenticode 証明書を匿名の購入者に販売している 4 つの組織を発見しました。マルウェア開発者が Microsoft Authenticode 証明書を取得すると、コード署名と証明書ベースの保護を通じて、あらゆるマルウェアに署名できます。

場合によっては、ハッカーは証明書を盗む代わりに、ソフトウェアビルドサーバーに侵入します。新しいソフトウェアバージョンがリリースされると、そのバージョンには正規の証明書が付与され、ハッカーはこのプロセスを利用して悪意のあるコードを追加します。

コード署名されたマルウェアの例

では、コード署名されたマルウェアとはどのようなものなのでしょうか?以下に、このタイプのマルウェアの 3 つの例を示します。

Stuxnet マルウェア: このマルウェアは、盗まれた 2 つの証明書と 4 つのゼロデイ脆弱性を使用して、イランの核開発計画を破壊しました。これらの証明書は、JMicron と Realtek の 2 社から盗まれました。 Stuxnet は、すべてのドライバの検証を必要とする Windows の新しい導入要件を回避するために、盗んだ証明書を使用しました。
Asus サーバー侵害: 2018 年 6 月から 11 月にかけて、企業がユーザーにソフトウェアアップデートをプッシュするために使用する Asus サーバーにハッカーが侵入しました。 Kaspersky Lab の調査によると、約 50 万台の Windows デバイスが、検出される前にこの悪意のあるアップデートを受信しました。これらのハッカーは、ソフトウェアサーバーがシステムアップデートを配布する前に、証明書を盗むことなく、マルウェアの正規の Asus デジタル証明書に署名します。
Flame マルウェア:中東諸国をターゲットとする Flame モジュールマルウェアの亜種。不正に署名された証明書を使用して検出を回避します。 Flame 開発者は、弱い暗号化アルゴリズムを使用してコード署名デジタル証明書を偽装し、Microsoft が署名したかのように見せかけました。破壊的であることを目的とした Stuxnet とは異なり、Flame はスパイツールであり、PDF ファイル、AutoCAD ファイル、テキストファイル、その他の種類の重要な産業文書を検索します。

コード署名されたマルウェアを回避するにはどうすればよいですか?

このタイプのマルウェアはコード署名を使用してウイルス対策ソフトウェアやシステムによる検出を回避するため、コード署名されたマルウェアから保護することは非常に困難です。ウイルス対策ソフトウェアとシステムを常に更新することが不可欠です。不明なリンクをクリックしないようにし、リンクをたどる前にリンクの出所を注意深く確認してください。「マルウェアによるリスクとその回避方法」の記事を参照してください。

Tags: #コード署名されたマルウェア #コード署名されたマルウェアとは #デジタル署名のあるマルウェア #コード署名 #コード署名方法 #デジタル署名されたマルウェア

Android 向け One UI とは何ですか?

One UI は、Samsung Experience を Android 用の Samsung カスタムインターフェイスとして置き換えます。シンプルで整然としており、重要な情報のみを表示するように設計されているため、気が散ることが少なくなります。

コンピューターネットワークのデシベル (dB) について学ぶ

デシベル (dB) は、有線および無線ネットワーク信号の強度を測定するために使用される標準測定単位です。

VPN を使用すべき 13 の理由

仮想プライベートネットワークは手頃な価格で使いやすく、コンピューターやスマートフォンのセットアップの重要な要素です。ファイアウォールやウイルス対策/マルウェア対策ソリューションと合わせて、VPN をインストールして、オンラインで過ごすすべての瞬間を完全にプライベートに保つ必要があります。

Telnet プロトコルについて学ぶ

Telnet は、サーバー、PC、ルーター、スイッチ、カメラ、ファイアウォールなどのさまざまなデバイスをリモートで管理するために使用されるコマンドラインプロトコルです。

データ破損とは何ですか?

機密データの保存について議論するとき、おそらく「データ破損」という言葉を聞くでしょう。では、「データ破損」とは何ですか?何か問題が発生した場合はどうすればファイルを修復できるのでしょうか?

Catalyst Control Center (CCC.exe) とは何ですか?

Catalyst Control Center は、ドライバーに付属するユーティリティで、AMD ビデオカードの動作を支援します。ユーザーのタスクマネージャーには CCC.exe として表示されますが、ほとんどの場合、これについて心配する必要はありません。