Coba tebak apa yang lebih mahal daripada paspor Amerika Serikat palsu, kartu kredit curian dan bahkan senjata di Dark Web? Yang lebih mahal tersebut adalah sertifikat penandatanganan kode digital.
Sebuah studi yang dilakukan oleh Cyber Security Research Institute (CSRI) minggu ini mengungkapkan bahwa sertifikat penandatanganan kode digital yang dicuri sudah tersedia bagi siapa saja untuk dibeli di Dark Web seharga $1.200.
Seperti yang kamu ketahui, sertifikat digital yang dikeluarkan oleh otoritas sertifikat terpercaya (CA) digunakan secara kriptografi untuk menandatangani aplikasi dan perangkat lunak komputer, dan dipercaya oleh komputer untuk pelaksanaan program tersebut tanpa pesan peringatan.
Namun, pembuat malware dan hacker yang selalu mencari teknik canggih untuk melewati solusi keamanan telah menyalahgunakan sertifikat digital tepercaya selama beberapa tahun terakhir.
Hacker menggunakan sertifikat penandatanganan kode digital yang dikompromikan, yang terkait dengan vendor perangkat lunak tepercaya untuk menandatangani kode berbahaya mereka, sehingga kemungkinan malware mereka tidak terdeteksi di jaringan perusahaan dan perangkat konsumen yang ditargetkan.
Worm Stuxnet yang terkenal menargetkan fasilitas pengolahan nuklir Iran pada tahun 2003 juga menggunakan sertifikat digital yang sah. Juga, infeksi unduhan yang baru-baru ini diterbitkan oleh CCleaner dimungkinkan karena pembaruan perangkat lunak yang ditandatangani secara digital.
Malware Yang Ditandatangani Secara Digital Semakin Marak
Namun, penelitian terpisah yang dilakukan oleh tim peneliti keamanan menemukan bahwa malware yang ditandatangani secara digital telah menjadi jauh lebih umum daripada yang diperkirakan sebelumnya.
Periset trio – Doowon Kim, BumJun Kwon dan Tudor Dumitras dari Universitas Maryland, College Park – mengatakan bahwa mereka menemukan total 325 sampel malware yang ditandatangani, dimana 189 (58,2%) membawa tanda tangan digital yang valid sementara 136 membawa tanda tangan digital yang salah.
“Tanda tangan yang salah tersebut berguna untuk musuh: kami menemukan bahwa hanya menyalin tanda tangan Authenticode dari sampel yang sah ke sampel malware yang tidak ditandai dapat membantu deteksi AV bypass malware,” kata periset tersebut.
Sebanyak 189 sampel malware yang ditandatangani dengan benar dihasilkan dengan menggunakan 111 sertifikat unik yang dikompromikan, yang dikeluarkan oleh CA dan diakui serta digunakan untuk menandatangani perangkat lunak yang sah.
Pada saat artikel ini dipublish, 27 dari sertifikat yang dikompromikan ini telah dicabut, walaupun malware yang ditandatangani oleh salah satu dari 84 sertifikat yang tidak dicabut masih dapat dipercaya selama membawa stempel waktu yang terpercaya.
“Sebagian besar (88,8%) keluarga malware mengandalkan satu sertifikat, yang menunjukkan bahwa sertifikat kasar sebagian besar dikendalikan oleh pencipta malware daripada oleh pihak ketiga,” kata periset trio tersebut.
Para periset telah merilis daftar sertifikat kasar di signedmalware.org.
Mencabut Sertifikat Curian Tidak Akan Segera Menghentikan Malware
Bahkan ketika tanda tangan tidak valid, para peneliti menemukan bahwa setidaknya 34 produk anti-virus gagal untuk memeriksa validitas sertifikat, yang akhirnya membiarkan kode berbahaya dijalankan pada sistem yang ditargetkan.
Para peneliti juga melakukan percobaan untuk mengetahui apakah tanda tangan yang salah dapat mempengaruhi deteksi anti-virus. Untuk mendemonstrasikan ini, mereka mendownload 5 sampel acak yang tidak terdaftar dan hampir semua program anti-virus terdeteksi sebagai berbahaya.
Trio ini kemudian mengambil dua sertifikat kedaluwarsa yang sebelumnya telah digunakan untuk menandatangani perangkat lunak yang sah dan malware lalu menggunakannya untuk menandatangani masing-masing dari lima sampel ransomware.
Antivirus Top Gagal Mendeteksi Malware Yang Ditandatangani Dengan Sertifikat Curian
Ketika menganalisis sepuluh sampel baru yang dihasilkan, para periset menemukan bahwa banyak produk anti-virus gagal mendeteksi malware sebagai perangkat lunak berbahaya.
Tiga produk anti-virus teratas – nProtect, Tencent, dan Paloalto – mendeteksi sampel ransomware yang tidak ditandatangani sebagai malware, namun mempertimbangkan delapan dari sepuluh sampel yang dibuat sebagai perangkat lunak aman.
Bahkan mesin anti-virus populer dari Kaspersky Labs, Microsoft, Trend Micro, Symantec, dan Comodo, gagal mendeteksi beberapa sampel berbahaya yang diketahui.
Paket anti-virus lain yang terpengaruh juga termasuk CrowdStrike, Fortinet, Avira, Malwarebytes, SentinelOne, Sophos, TrendMicro dan Qihoo, dan lain-lain.
“Kami percaya bahwa ketidakmampuan mendeteksi sampel perangkat lunak ini disebabkan oleh fakta bahwa AV memperhitungkan tanda tangan digital saat memfilter dan memprioritaskan daftar file yang akan dipindai, untuk mengurangi biaya overhead yang dikenakan pada host pengguna,” kata para peneliti.
“Namun, penerapan cek tanda tangan Authenticode yang salah di banyak AV memberi kesempatan pada pembuat malware untuk menghindari deteksi dengan metode yang sederhana.”
Para periset mengatakan bahwa mereka melaporkan masalah ini kepada perusahaan antivirus yang terkena dampak, dan salah satu dari mereka telah memastikan bahwa produk mereka gagal untuk memeriksa tanda tangan dengan benar dan mereka telah merencanakan untuk memperbaiki masalah tersebut.
Para peneliti mempresentasikan temuan mereka ini di konferensi Computer and Communications Security (CCS) di Dallas pada hari Rabu.
Untuk informasi lebih rinci mengenai penelitian ini, kamu dapat melanjutkan ke makalah penelitian mereka yang berjudul “Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI”.
Loading...
Reload document
Open in new tab 