Warning: Digitally Signed Malware is On the Rise

コード署名は、理論的には、正当な実行可能ファイルと疑わしい、潜在的に有害なマルウェアとを区別するための優れたツールです。しかし、最近のオンラインの脅威データベースへの提出は憂慮すべき傾向を示しています - 実際の当局から発行された非常に実際の証明書とともに、ますます多くの実際のマルウェアが配布されています。

およそ12か月にわたり、さまざまなツールや方法を使用して脅威のサンプルを収集、カタログ化、分析するサービスで、正当な認証機関によってデジタル署名された約4000種類のマルウェアが蓄積されています。これらの証明書を発行する機関には、Entrust、DigiCert、Go Daddy、GlobalSign、Sectigo、およびVeriSignがあります。データは、Medium's Chronicle Blogによって公開されたレポートからのものです。

当初考えられていた以上のデジタル署名されたマルウェアがある可能性があります。

さらに、引用された数字もかなり控えめなものと見なされ、デジタル署名されたマルウェアが実際に拡散していることを示すものではありません。 署名されたマルウェアの3,815サンプルは、Windowsのポータブル実行可能ファイルのみを検索したときに発見されたもので、さまざまなエンジンから少なくとも15の検出数を上げなかったファイルは含まれていません。

セキュリティ研究者が指摘したように、デジタル署名されたマルウェアは、他の方法では適切なセキュリティ対策が講じられている環境で深刻な脅威を容易に操作できるようにするため、非常に重要です。 実際のマルウェアに対して発行された証明書の最大数は、以前はComodoという名前で知られていたSectigoから由来しているようです。 3,815件の検出のうち半分以上がSectigoからの認証を受けています。この蔓延は、Sectigoもその中で最大の認証局であるという事実から生じている可能性があります。

悪意のある行為者は、使い捨てのLLC会社を利用し、それらのエンティティを使用して証明書を購入し、確立された会社のふりをすることすらありません。認証局は、マルウェアに対して発行された証明書をすぐに無効にし始めました。悪い当事者が合法的な当局からコード認証へのそのような即時の、簡単なアクセスを持っているという事実は、より厳格なデューデリジェンス規則と手順を実行することによってのみ対処できる問題のままです。