Специалисты компании Chronicle изучили малварь, подписанную цифровыми сертификатами, что уже давно не является отличительной чертой правительственных хакеров или продвинутых хак-групп. Исследователи пришли к выводу, что преступники все чаще, прямо или косвенно, приобретают сертификаты у удостоверяющих центров, причем большинство сертификатов было выдано удостоверяющим центром Comodo (ныне Sectigo).
Для своего исследования эксперты изучили 3815 подписанных образцов вредоносного ПО, загруженных на VirusTotal за последний год. Аналитики подчеркивают, что эта выборка не отражает полную картину, так как они концентрировались на файлах Windows PE, исключали образцы, у которых менее 15 обнаружений на платформе, а также отфильтровали множество не совсем вредоносных файлов.
В конечном счете, было установлено, что преступники злоупотребляют сертификатами Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra, и Entrust. С огромным отрывом от других удостоверяющих центров стоит бывший Comodo, а теперь компания Sectigo, — их сертификатами оказались подписаны 1775 вредоносов. Впрочем, удивляться не приходится, ведь Sectigo – это крупнейший коммерческий удостоверяющий центр в мире, сотрудничающий со многими реселлерами.
Отмечается, что всего шесть удостоверяющих центров выпустили сертификаты, которыми были подписаны 100 и более образцов малвари, что в общей сложности составляет 78% от всех обнаруженных на VirusTotal вредоносов.
Как можно увидеть на графике ниже, разрыв между первыми тремя местами огромен. Так, Sectigo, занимающий первое место в списке исследователей, подписал в 3,5 раза больше образцов малвари, чем удостоверяющий центр Thawte, занявший второе место. При этом компания на втором месте подписала вдвое больше вредоносов, чем обитатель третьего места – удостоверяющий центр VeriSign.
Единственный доступный удостоверяющим центрам механизм борьбы с такими случаями, это отзыв сертификата. По данным исследователей, за указанный период времени Sectigo отозвала 354 сертификата, а Thawte 348 сертификатов. То есть по данным на 8 мая 2019 года удостоверяющие центры отозвали 21% сертификатов, которыми злоупотребляли преступники. Причем реальные цифры отзывов, скорее всего, будут даже больше, так как VirusTotal обрабатывает эти данные не слишком быстро.