รายงานพบมัลแวร์ใช้ Certificate ปลอมสำหรับ Code Signing มากขึ้น

รายงานจาก Recorded Future พบว่ามัลแวร์เริ่มมีการใช้ Certificate ปลอมในกระบวนการ Code Signing (สร้างลายเซ็นดิจิตัลเพื่อรับรองถึงเจ้าของซอฟต์แวร์และการรันตีว่าโค้ดเหล่านั้นไม่ถูกแก้ไขหรือผิดพลาดหลังจากมันถูก Sign ไอเดียคล้ายกับเราเซ็นเอกสารสำคัญของธนาคาร) เพื่อหลบเลี่ยงกระบวนการตรวจจับด้านความมั่นคงปลอดภัย

เทคนิคที่ใช้มันค่อนข้างซับซ้อนเลยทีเดียวเพราะมันไม่ได้เป็นการขโมยจากเจ้าของ Certificate เสมอไป เนื่องจากมีการร้องขอออก Certificate ตามปกติอย่างเฉพาะเจาะจงและลงทะเบียนด้วย Credential ขององค์กรที่ถูกขโมยไป นอกจากนี้ยังมีการซื้อขาย Certificate กันใน Dark Web มาหลายปีแล้วอีกด้วย โดย Recorded Future เผยว่า “จากข้อมูลของผู้ขาย 2 รายในระหว่างการสนทนาส่วนตัวเพื่อยืนยันถึงปัญหาและอายุขัยของผลิตภัณฑ์ ซึ่ง Certificate ทุกใบนั้นมีการลงทะเบียนโดยใช้ข้อมูลจริงของบริษัทและเราเชื่อว่าบริษัทคงไม่ได้ตระหนักถึงการนำข้อมูลของพวกเขาไปใช้แบบนี้

นอกจากนั้นนักวิจัยยังได้ระบุว่า “อุปกรณ์ด้านความมั่นคงปลอดภัยระดับเครือข่ายที่ใช้ Deep Packet Inspection จะมีประสิทธิภาพน้อยลงเมื่อเจอทราฟฟิค SSL/TLS  ของมัลแวร์ที่มีการใช้ Certificate อย่างถูกต้อง ดังนั้นการใช้ Netflow วิเคราะห์ Packet Header เพื่อลดความเสี่ยงของภัยคุกคามครั้งนี้จึงเป็นเรื่องสำคัญ อีกทั้งการควบคุมที่เครื่องโฮสต์อาจจะใช้การไม่ได้เมื่อเจอกับการใช้ Certificate ที่ถูกต้องทำ Code Signing” อย่างไรก็ตามคาดว่าวิธีการนี้ยังไม่ใช่เทคนิคหลักของผู้โจมตีทั่วไปเนื่องจากต้นทุนสูงแต่แฮ็กเกอร์มืออาชีพระดับสากลก็คงยังใช้เทคนิคนี้ต่อไปในการปฏิบัติการ

ที่มา : https://www.securityweek.com/use-fake-code-signing-certificates-malware-surges


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จักกับ Secure Access Service Edge (SASE) หัวใจแห่ง Network Security ในอนาคต

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน The Future of Network Security is in the Cloud บรรยายถึงแนวโน้มการเปลี่ยนผ่านด้านเครือข่ายและความมั่นคงปลอดภัยบนระบบ Cloud โดยนำเสนอโมเดลใหม่ที่เรียกว่า …

รายงานจาก Microsoft ชี้ตรวจพบ Malware, Ransomware และ Cryptominer ลดลงในปี 2019

ถ้าถามว่าใครจะมีข้อมูลของผู้ใช้งาน Windows มากที่สุด คงเถียงไม่ได้ว่าน่าจะเป็น Microsoft เนื่องจากเป็นเจ้าของ OS ซึ่งจากรายงานของปีนี้พบว่าภัยคุกคามประเภท Malware, Ransomware และ Cryptominer น้อยลงกว่ามีก่อน