Por msft-mmpc
Una de las muchas características inusuales del malware Stuxnet que se descubrió en 2010 era que sus archivos se distribuían con una firma digital válida, creada utilizando credenciales de autenticación pertenecientes a dos compañías de software legítimas no relacionadas entre sí. Normalmente, la firma verificaría que el programa fue emitido por la compañía señalada en el certificado de firma y que los consentimientos del programa no han sido alterados desde su firma. Al utilizar las credenciales de autenticación de otras compañías para firmar sus propios archivos, los distribuidores de malware podrían hacer parecer que sus archivos provenían de una fuente más confiable.
Desde entonces, es relativamente raro encontrar malware firmado con credenciales aseguradas pobremente o robadas. La mayoría del malware firmado digitalmente utiliza certificados de firma de códigos pagados y obtenidos directamente de la autoridad de certificación (CA) emisora. Estas CAs no tendrían conocimiento de que los certificados pudieran utilizarse para propósitos malintencionados. Por ejemplo, recientemente la familia antivirus falsa Rogue:Win32/FakePav volvió a aparecer después de estar inactiva por más de un año. Antes del periodo de inactividad, los ejecutables de FakePav no se firmaban digitalmente, pero sí sus nuevas variantes. Después de algunos días utilizando un certificado único, FakePav cambió a un certificado diferente, emitido en el mismo nombre que el anterior, pero por una CA diferente.
Sin embargo, desde hace poco más de mes pasado, se ha vuelto más común el uso de certificados robados. En particular, Rogue:Win32/Winwebsec, otro bribón que se llama a sí mismo Profesional de seguridad antivirus (Antivirus Security Pro), ha sido distribuido firmado con credenciales robadas de al menos doce diferentes desarrolladores de software.
Figura 1: Interfaz de Antivirus Security Pro
Una familia relacionada, TrojanSpy:Win32/Ursnif, ha sido también distribuida con archivos firmados utilizando credenciales robadas. Hemos observado que Winwebsec descarga Ursnif, un troyano que supervisa el tráfico de la Web, el cual roba información sensible, incluyendo contraseñas. Variantes anteriores de Ursnif también podían robar certificados y claves privadas, pero esta funcionalidad no parece estar presente en las versiones más recientes. En su lugar, parece haberse agregado a ciertas muestras de PWS:Win32/Fareit.
Figure 2: Fareit roba los certificados
PWS:Win32/Fareit es un troyano que roba principalmente contraseñas del cliente FTP de un usuario, pero algunas veces también descarga e instala otro malware, como Winwebsec y Win32/Sirefef.
Figure 3: Relación e interacciones entre las familias Fareit, Sirefef, Winwebsec y Ursnif
Diferentes CAs utilizaron varios certificados robados de desarrolladores de software en ubicaciones en todo el mundo. La siguiente tabla muestra detalles de algunos de los certificados utilizados para firmar muestras de Winwebsec. Observe que la columna número de muestras señala sólo las muestras Winwebsec firmadas digitalmente de las que tenemos copia – puede haber muchas otras muestras que no hemos recibido. Sin embargo, da una idea de la magnitud del problema. Como cosa curiosa, uno de estos certificados se emitió sólo tres días antes de que empezamos a ver muestras de malware firmadas con el mismo, lo cual sugiere que los distribuidores de malware roban regularmente nuevos certificados, en lugar de utilizar certificados de depósitos antiguos.
Figure 4: Certificados utilizados para firmar las muestras de Rogue:Win32/WinwebsecPara aquellos de ustedes que sean desarrolladores de software, Microsoft tiene un documento que describe las mejores prácticas para la firma de códigos. Aunque ese documento se preparó en 2007 y contiene algunas referencias de herramientas del sistema operativo que ya han cambiado, siguen siendo relevantes todas las recomendaciones de los procedimientos de seguridad apropiados para obtener y almacenar certificados para firma de código y claves privadas, así como para firmar digitalmente su software.
Igual de importante que mantener seguras las llaves de su casa y de su auto, es esencial asegurar sus claves privadas de firma de códigos. No sólo es inconveniente, y con frecuencia costoso, reemplazar el certificado, sino que puede resultar en la pérdida de la reputación de su compañía si se utiliza para firmar malware. El documento recomienda mantener las claves privadas seguras de manera física al utilizar dispositivos de hardware almacenados de manera segura como una tarjeta inteligente, un token USB o un módulo de seguridad de hardware. Ciertamente, no se debe de utilizar ningún sistema para almacenar credenciales de firma de códigos en exploraciones Web, siendo vital que esos sistemas ejecuten una solución antivirus actualizada de manera regular, y que cualquier archivo que usted firme haya sido explorado para encontrar de antemano cualquier infección posible de un virus.
Si un sistema que usted utiliza para firmar ha sido infectado con Win32/Fareit u otro malware, y sospecha que están comprometidas sus claves privadas, debe contactar la CA que emitió las credenciales de manera inmediata.
David Wood
MMPCSHA1s:
d330699f28a295c42b7e3b4a127c79dfed3c34f1 (PWS:Win32/Fareit con capacidad para robar certificados)
006c4857c6004b0fcbb185660e6510e1feb0a7a3 (Winwebsec firmado digitalmente)
Conviértase en un verdadero profesional de la seguridad – Mantenga confidenciales sus claves privadas
Teresa Zancanelli Ghiorzoe
Fri, 17 Jan 2014 14:51:12 GMT
No hay comentarios.:
Publicar un comentario