【1️⃣】 Code-Signed malware là gì và tránh malware này như thế nào?

Nội Dung Bài Viết

Web Tin Học Trường Tín có bài: Code-Signed malware là gì và tránh malware này như thế nào? Code signing là phương pháp sử dụng chữ ký số dựa trên chứng chỉ cho một phần mềm để hệ điều hành và người dùng xác định độ an toàn của nó. Code-signed malware là gì và nó hoạt động như thế nào?

Code signing là cách thức sử dụng bút ký số dựa theo chứng từ cho 1 phần mềm để hệ điều hành và người dùng định vị độ an toàn của nó. Chỉ có những ứng dụng đúng mới cũng đều có thể sử dụng bút ký số tương ứng của nó.

Người dùng có thể tải, cài đặt an toàn phần mềm và các nhà phát triển bảo quản danh tiếng mặt hàng của họ với Code signing. Tuy nhiên, hacker và các nhà phân phối ứng dụng độc hại đang sử dụng hệ thống chuẩn xác đó để mã độc có thể thông qua các bộ ứng dụng diệt virus và các chương trình bảo mật khác. Vậy Code-signed malware là gì và nó hoạt động như ra sao?

Gỡ bỏ tận gốc ứng dụng độc hại (malware) trên máy tính Windows 10
Top 10 loại Malware hiểm nguy nhất với các tài khoản ngân hàng
Tìm hiểu về malware đa hình và siêu đa hình

Code Signed malware là gì?

Khi phần mềm được ký số, tức là nó có bút ký số chính thức. Certificate Authority cấp chứng từ cho 1 ứng dụng để xác định ứng dụng đó là hợp pháp và an toàn sử dụng.

Xem thêm: công ty sửa máy tính quận 2 vs châm mực máy in tận nhà hcm vs Máy tính kêu tít tít kéo dài vs

Người dùng sẽ không phải lo lắng vì hệ điều hành sẽ kiểm tra chứng thư và xác minh bút ký số đó. Ví dụ, Windows sử dụng chuỗi chứng từ (certificate chain) có chứa tất cả những chứng chỉ cần phải có để đảm bảo phần mềm hợp pháp.

Chuỗi chứng chỉ chứa mọi thứ các chứng chỉ cần thiết để chứng nhận đối tượng được xác định bởi chứng chỉ cuối. Thực tế, nó gồm chứng chỉ cuối, chứng thư CA trung gian và chứng chỉ CA gốc được tất cả các bên trong chuỗi tin cậy. Mỗi chứng thư CA trung gian trong chuỗi chứa 1 chứng thư do CA trên nó một bậc cấp. CA gốc phát hành chứng từ cho chính nó.

Xem thêm: dịch vụ cài lại windows tphcm vs sửa máy tính tận nơi huyện nhà bè vs Máy tính bị đơ win 7 vs

Khi hệ thống hoạt động, bạn có thể tin vào phần mềm, hệ thống Code signing và CA. Malware là phần mềm độc hại, không đáng tin cậy và không có quyền truy cập vào Certificate Authority hoặc Code signing.

Hacker đánh cắp chứng chỉ từ Certificate Authority

Phần mềm diệt virus biết malware là độc hại vì nó ảnh hưởng thiếu tích cực đến hệ thống của bạn. Nó kích hoạt cảnh báo, người dùng báo cáo sự cố và phần mềm diệt virus cũng có thể tạo bút ký phần mềm độc hại để bảo vệ máy tính khác sử dụng cùng một công cụ diệt virus.

Tuy nhiên nếu các nhà tạo malware có thể ký mã độc sử dụng chữ kỹ số chính thức, thì quá trình trên sẽ không xảy ra. Thay vào đó, Code-singed malware cũng có thể có thể xâm nhập vào hệ thống bằng con đường chính thức bởi vì ứng dụng diệt virus và hệ điều hành của bạn không phát hiện ra bất cứ điều gì nguy hiểm.

Theo nghiên cứu của Trend Micro, toàn bộ thị trường malware đang tập trung hỗ trợ phát triển và phân phối Code-signed malware. Các nhà khai thác malware có quyền truy cập vào các chứng thư hợp thức sử dụng để ký mã độc. Bảng dưới đây cho thấy số lượng malware sử dụng Code signing để lẩn tránh phần mềm diệt virus kể từ tháng 4/2018.

Code-Signed malware là gì và tránh malware này như thế nào?

Nghiên cứu của Trend Micro cũng cho biết khoảng 66% malware có chữ ký số. Ngoài ra, có một số loại malware cụ thể có nhiều phiên bản chữ ký số như Trojan, dropper và ransomware.

Chứng chỉ số Code signing đến từ đâu?

Các nhà phân phối và phát triển phần mềm độc hại có hai cách để tạo code-signed malware. Họ ăn cắp chứng từ còn Certificate Authority bằng cách trực tiếp hoặc mua lại hoặc giả mạo một tổ chức hợp pháp và yêu cầu chứng thư từ CA.

Như các bạn có thể thấy, CA không phải là nơi duy nhất các hacker nhắm đến. Các nhà phân phối có quyền truy cập vào các chứng thư hợp pháp có thể bán chứng từ có bút ký số tin cậy cho các nhà phát triển và phân phối malware.

Một nhóm nghiên cứu bảo mật của trường Masaryk University ở Cộng hòa Séc và Trung tâm Maryland Cybersecurity Center đã phát hiện ra 4 tổ chức bán chứng chỉ Microsoft Authenticode cho người mua ẩn danh. Khi nhà phát triển phần mềm độc hại có chứng từ Microsoft Authenticode, họ có thể ký bất kỳ phần mềm độc hại nào cũng có thể có thể thông qua lớp bảo quản dựa theo chứng chỉ và Code signing.

Một số tình huống khác, thay vì đánh cắp các chứng chỉ, hacker sẽ xâm nhập vào máy chủ xây dựng phần mềm. Khi phiên bản ứng dụng mới được phát hành, nó sẽ có một chứng từ hợp pháp, hacker lợi dụng công đoạn này để thêm mã độc vào.

Ví dụ về Code-signed malware

Vậy, Code-signed malware trông như ra sao? Dưới này là ba ví dụ về loại malware này.

Stuxnet malware : Phần mềm độc hại này phá hủy chương trình hạt nhân Iran bằng phương pháp dùng hai chứng thư đánh cắp và 4 lỗ hổng zero-day. Các chứng thư này được đánh cắp từ hai dịch vụ JMicron và Realtek. Stuxnet sử dụng các chứng thư ăn cắp được để né yêu cầu giới thiệu mới của Windows mà tất cả các driver đều yêu cầu xác minh.
Asus server breach: Vào khoảng thời gian từ tháng 6 đến tháng 11/2018, các hacker đã đột nhập vào một server Asus mà các dịch vụ sử dụng để đẩy cập nhật ứng dụng cho người dùng. Nghiên cứu tại Kaspersky Lab cho thấy có chừng 500 nghìn thiết bị Windows nhận cập nhật độc hại này trước lúc bị phát hiện. Không cần ăn cắp chứng chỉ, các hacker này ký chứng từ số Asus hợp pháp cho phần mềm độc hại của họ trước khi server phần mềm phân phối cập nhật hệ thống.
Flame malware: Biến thể của phần mềm độc hại module Flame nhắm vào các quốc gia Trung Đông, sử dụng các chứng thư được ký 1 cách gian lận để khỏi bị phát hiện. Các nhà phát triển Flame đã sử dụng một thuật toán mã hóa yếu để ký giả mạo các chứng từ số Code signing, khiến cho nó xuất hiện như thể Microsoft đã ký chúng. Không giống như Stuxnet với mục tiêu phá hoại, Flame là một công cụ gián điệp, tìm kiếm các file PDF, AutoCAD, file văn bản và các dòng tư liệu công nghiệp quan trọng khác.

Làm thế nào để né Code-signed malware?

Loại malware này sử dụng Code signing để né bị các ứng dụng diệt virus và hệ thống phát giác nên việc bảo vệ ngăn chặn Code-signed malware là cực kì khó khăn. Luôn cập nhật phần mềm diệt virus, hệ thống là điều cần thiết, tránh click vào các link không biết và cẩn trọng kiểm tra link tới từ đâu trước lúc follow nó. Tham khảo bài viết Những nguy cơ từ malware và cách phòng tránh.

Xem thêm: sửa máy tính tận nơi hcm vs công ty sửa máy tính quận 11 vs cài đặt máy tính vs

Cách tội phạm mạng ẩn ứng dụng độc hại trong file .WAV
Cách gỡ cài đặt Chromium Malware với 4 bước đơn giản
Fileless Malware là gì?
[Infographic] 7 cách hiệu quả để bảo quản doanh nghiệp khỏi Ransomware

code signed malware,code signed malware là gì,malware có chữ ký số,code signing,phương pháp code signing,phần mềm độc hại có chữ ký số,cách tránh code signed malware

Nội dung Code-Signed malware là gì và tránh malware này như thế nào? được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.