Появились вредоносные программы с двойной подписью файлов (SHA1 и SHA2)

2016-03-25 4740 комментарии
Авторы вредоносных программ адаптируются под современные требования центров сертификации. Вредоносное ПО теперь имеет цифровую подпись двумя сертификатами SHA1 и SHA2

Доступны кумулятивные обновления для Windows 10 KB3140768 и KB3140745
Фото @keithwormwood

Надвигающийся провал сертификатов SHA1 связан с тем, что они используются не только на легальных сайтах и приложениях, но и во вредоносных программах.

В недавнем отчете по кибер-безопасности компания Symantec сообщила, что был обнаружен зловред, который имеет двойную цифровую подпись. Один сертификат был подписан с помощью SHA1, а второй резервный соответственно с помощью SHA2.

Данный зловред является банковским трояном Carberp и распространялся в рамках спам-кампании с таргетингом в Дании, Щвеции, Израиле, Эфиопии и США.

Как объяснили исследователи, этот троян оказался первой обнаруженной угрозой, подписанной двумя сертификатами, что нивелирует усилия технологического сектора по переходу на SHA2, после того как SHA1 был объявлен небезопасным.

Ожидаем больше угроз с двойной подписью

Технические причины для подписи вредоносной программы двумя сертификатами очевидны. Большинство вендоров ПО и в частности Microsoft, чьи продукты часто становятся целью атак, объявили о планах по прекращению поддержки сертификатов с алгоритмом SHA1, начиная с января 2016 года. В будущем планируется полный отказ от SHA1.

Наличие резервного сертификата SHA2 позволяет вредоносной программе маскироваться под легальное ПО, в случае, если SHA1 вызывает ошибки проверки. SHA1 не будет удален из современных вредоносных программ, потому что позволяет атаковать машины со старыми операционными системами, где SHA1 является главным механизмом цифровой подписи, а SHA2 не поддерживается.

Самое смешное, что операторы вредоносных программ уже внедрили системы аварийного перехода, в то время как операторы легитимных сайтов имеют с этим проблемы и серьезно отстают с миграцией на SHA2.

Только в прошлом месяце, Mozilla должна была выдать временное разрешение клиенту Symantec, которому требовались девять новых сертификатов SHA1, выданные на его имя, даже если сроки истекли, и компания всегда должны быть готова к переходу на SHA2.

Обнаружены вредоносные программы с двойной подписью файлов (SHA1 и SHA256)

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества