สถิติชี้ Certificate จาก Comodo ถูกใช้ Sign มัลแวร์บน VirusTotal มากที่สุด

Chronicle บริษัทด้าน Cybersecurity บริษัทย่อยของ Alphabet ได้จัดทำรายงานเกี่ยวกับสติถิของตัวอย่างมัลแวร์บน VirusTotal กว่า 3,815 ตัวที่มีการทำ Code Signing ซึ่งพบ Certificate จาก Comodo (ปัจจุบันเปลี่ยนชื่อเป็น Sectigo แล้ว) ถึง 1,775 ใบถูกนำมาใช้อำนวยประโยชน์ให้มัลแวร์เหล่านี้

เครดิต : Bleepingcomputer

Code Signing คือการทำ Cryptographic Hash การยืนยันว่าซอฟต์แวร์นั้นไม่ได้ถูกแก้ไขเปลี่ยนแปลงยกตัวอย่างเช่น Windows หรือ Mac OS จะใช้ตรวจสอบว่าซอฟต์แวร์ไม่ได้ถูกแก้ไขมา โดยภายในของกระบวนการจะมีการใช้งาน Certificate ที่ถูกออกให้จาก Trusted CAs

สำหรับรายงานจาก Chronicle พบว่าสถิติตัวอย่างมัลแวร์บน VirusTotal จำนวน 3,815 ตัวที่มีการทำ Code Signing และถูกอัปโหลดมาไม่เกิน 1 ปีพบว่ามี Certificate ที่ถูกออกโดย Trusted CA 6 ลำดับแรกคือ Comodo 1,775 ใบ, thawte 509 ใบ, VeriSign 261 ใบ, Sectigo 182 ใบ, Symantec 131 ใบ และ DigiCert 118 ใบ โดยถ้าสังเกตเรื่องของตัวเลขจะพบว่าแต่ละลำดับมีการทิ้งห่างกันหลายเท่าเลยทีเดียว (ตามรูปด้านบน)

อย่างไรก็ตามทางเดียวที่จะแก้ปัญหาข้างต้นคือการเรียกคืน Certificate ซึ่งก็ดูเหมือนว่าหลังจากที่ Trusted CAs ได้รับการเตือนจากนักวิจัย ทาง Sectigo ก็มีการเรียกคืน Certificate ที่ใช้โดยมัลแวร์กว่า 354 ใบเช่นเดียวกับทาง thawte ได้เรียกคืนมาราว 348 ใบที่หากนับรวมกับทุกเจ้าที่เรียกคืนตอนนี้จะนับได้เป็น 21% ของ Certificate ทั้งหมด นอกจากนี้ Tim Callan จาก Sectigo ได้กล่าวว่า “มีการประชุมทั่วไประหว่าง CA และ Browser Forum เพื่อโหวตจัดตั้งคณะทำงานเฉพาะสำหรับ Code Signing ขึ้นมาเพื่อดูแลจัดการเรื่องการ Signing ของมัลแวร์ นอกจากนี้นักวิจัยผู้พบเห็นการใช้ Certificate ของ Segtigo ในมัลแวร์สามารถแจ้งเรื่องมาได้ที่ signedmalwarealert@sectigo.com

ที่มา :  https://www.securityweek.com/comodo-issued-most-certificates-signed-malware-virustotal และ  https://www.bleepingcomputer.com/news/security/volume-of-signed-malware-increases-cas-need-better-vetting/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Fortinet เปิดตัว FortiWeb 6.1.0 เสริมฟีเจอร์ Machine Learning และ Botnet Detection

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูง ประกาศเปิดตัว FortiWeb เวอร์ชัน 6.1.0 ใหม่ล่าสุด พร้อมผสานเทคโนโลยี Machine Learning เข้าไปยังฟีเจอร์ต่างๆ รวมไปถึงปรับปรุง Botnet Detection ให้มีประสิทธิภาพดียิ่งขึ้น

Cloudflare เผยซอร์สโค้ดไลบรารี่เข้ารหัส ‘CIRCL’ ช่วยศึกษาผลลัพธ์จาก Quantum Computing

Cloudflare ได้ประกาศเปิดเผยซอร์สโค้ดในไลบรารี่การเข้ารหัสของตนที่ชื่อ CIRCL ไว้บน GitHub ซึ่งเป็นความพยายามในการเตรียมตัวรับมือกับยุคของ Quantum Computing ที่อาจจะส่งผลกับอัลกอริทึมการเข้ารหัสที่มีอยู่ในปัจจุบัน