รายงานพบมัลแวร์ใช้ Certificate ปลอมสำหรับ Code Signing มากขึ้น

รายงานจาก Recorded Future พบว่ามัลแวร์เริ่มมีการใช้ Certificate ปลอมในกระบวนการ Code Signing (สร้างลายเซ็นดิจิตัลเพื่อรับรองถึงเจ้าของซอฟต์แวร์และการรันตีว่าโค้ดเหล่านั้นไม่ถูกแก้ไขหรือผิดพลาดหลังจากมันถูก Sign ไอเดียคล้ายกับเราเซ็นเอกสารสำคัญของธนาคาร) เพื่อหลบเลี่ยงกระบวนการตรวจจับด้านความมั่นคงปลอดภัย

เทคนิคที่ใช้มันค่อนข้างซับซ้อนเลยทีเดียวเพราะมันไม่ได้เป็นการขโมยจากเจ้าของ Certificate เสมอไป เนื่องจากมีการร้องขอออก Certificate ตามปกติอย่างเฉพาะเจาะจงและลงทะเบียนด้วย Credential ขององค์กรที่ถูกขโมยไป นอกจากนี้ยังมีการซื้อขาย Certificate กันใน Dark Web มาหลายปีแล้วอีกด้วย โดย Recorded Future เผยว่า “จากข้อมูลของผู้ขาย 2 รายในระหว่างการสนทนาส่วนตัวเพื่อยืนยันถึงปัญหาและอายุขัยของผลิตภัณฑ์ ซึ่ง Certificate ทุกใบนั้นมีการลงทะเบียนโดยใช้ข้อมูลจริงของบริษัทและเราเชื่อว่าบริษัทคงไม่ได้ตระหนักถึงการนำข้อมูลของพวกเขาไปใช้แบบนี้”

นอกจากนั้นนักวิจัยยังได้ระบุว่า “อุปกรณ์ด้านความมั่นคงปลอดภัยระดับเครือข่ายที่ใช้ Deep Packet Inspection จะมีประสิทธิภาพน้อยลงเมื่อเจอทราฟฟิค SSL/TLS  ของมัลแวร์ที่มีการใช้ Certificate อย่างถูกต้อง ดังนั้นการใช้ Netflow วิเคราะห์ Packet Header เพื่อลดความเสี่ยงของภัยคุกคามครั้งนี้จึงเป็นเรื่องสำคัญ อีกทั้งการควบคุมที่เครื่องโฮสต์อาจจะใช้การไม่ได้เมื่อเจอกับการใช้ Certificate ที่ถูกต้องทำ Code Signing” อย่างไรก็ตามคาดว่าวิธีการนี้ยังไม่ใช่เทคนิคหลักของผู้โจมตีทั่วไปเนื่องจากต้นทุนสูงแต่แฮ็กเกอร์มืออาชีพระดับสากลก็คงยังใช้เทคนิคนี้ต่อไปในการปฏิบัติการ

ที่มา : https://www.securityweek.com/use-fake-code-signing-certificates-malware-surges