Хакер #305. Многошаговые SQL-инъекции
У создателей вредоносных программ есть постоянный спрос на цифровые сертификаты code signing, то есть сертификаты разработчика, чтобы подписывать свои программы и надёжнее защищать их от антивирусов. Лучше всего, если это будут сертификаты от известной компании, но и от центра сертификации тоже подойдут.
Мониторинг подпольных форумов, где осуществляется торговля такими сертификатами, указывает на печальную тенденцию: в последнее время сертификатов в продаже стало больше, пишут эксперты из компании SenseCy, которые постоянно проводят такой мониторинг.
Они говорят, что на одном из форумов, защищённых паролем, открылась новая ветка, где каждый может купить новые сертификаты и получить техническую консультацию. Ветка открыта два месяца назад и с тех пор постоянно обновляется.
В первом сообщении предлагали сертификаты по $980. У авторов явно есть постоянный поставщик, который имеет постоянный доступ к одному из пяти крупнейших центров сертификации.
Новые сертификаты поступают в продажу каждые 1-2 недели. Это говорит и о хорошем спросе на сертификаты, и о наличии товара. Договориться о сделке можно через Jabber.
Во время разговора с сотрудниками SenseCy продавец сказал, что сертификаты помогают избежать обнаружения антивирусами, в том числе модулями проактивной защиты почти всех антивирусов, кроме одного. Сертификаты можно использовать для подписи файлов .exe, .dll, .jar и .doc files, но не .sys (драйверы).
За прошедшие два месяца, по оценке SenseCy, продано от 7 до 10 сертификатов.