В последнее время всё чаще появляются новости о появлении вредоносных
программ с цифровыми подписями. Оказывается, подобные факты совершенно
не редкость, и специалисты уже не удивляются, когда встречают такой
зловред. По статистике McAfee, с начала 2012 года обнаружено более 200 тысяч уникальных бинарников с валидными цифровыми подписями.
Как сообщается, большинство из них подписано украденными
сертификатами, в то время как другие являются самоподписанными или
подписаны «тестовым» сертификатом (test signed). Например, на скриншотах
внизу показаны два сертификата.
Оба эти сертификата являются валидными, но один из них — «тестовый».
«Тестовая» подпись полезна для 64-битной версии Windows, потому что
представляет собой легальный метод обхода обязательной подписи для
драйверов. Компания Microsoft специально позволяет запускать драйверы с
«тестовыми» сертификатами для тех драйверов, которые ещё не прошли
процедуру сертификации. Соответственно, авторы вредоносного ПО тоже
успешно используют этот метод. Например, руткиты Necurs, Advanced PC
Shield 2012 и Cridex используют данный подход. Чтобы бороться с подобным
поведением, некоторые антивирусы теперь блокируют по умолчанию любые
программы с «тестовыми» сертификатами, а уже администратор может вручную
разрешить отдельные из них.
|