بدافزارهای فوق‌العاده مخفی با امضای دیجیتالی در سایه‌ی وبِ تاریک،افزایش یافته اند

امضای دیجیتالی

بدافزارهای فوق‌العاده مخفی با امضای دیجیتالی در سایه‌ی وبِ تاریک،افزایش یافته اند

بی شک به نظر می رسد که عنوان خبر کمی عجیب آید و منطقی نباشد.پرواضح است که؛امضای دیجیتال نوعی رمزنگاری نامتقارن است. هنگامی که پیغامی از کانالی ناامن ارسال می‌شود، یک امضای دیجیتال که به شکل صحیح به انجام رسیده باشد می‌تواند برای شخص گیرنده پیام دلیلی باشد تا ادعای شخص فرستنده را باور کند یا به عبارت بهتر شخص گیرنده از طریق امضای دیجیتال می‌تواند این اطمینان را حاصل کند که همان شخص فرستنده نامه را امضا کرده‌است و نامه جعلی نیست.

از سوی دیگر جرائم انجام شده در دارک وب نیز رو به افزایش است.با این حال، تحقیقات جداگانه‌ی انجام شده توسط گروهی از پژوهش‌گران امنیتی نشان دادند که بدافزارهای امضاء شده‌ی دیجیتالی، بسیار شایع‌تر از قبل شده‌اند.براساس مطالعه‌ی اخیر انجام شده توسط موسسه‌ی تحقیقات امنیت سایبری (CSRI) در این هفته نشان داد که گواهی‌نامه‌های به سرقت رفته‌ی امضاء شده با کد دیجیتالی به‌راحتی برای خرید هرکسی بر روی وبِ تاریک تا ۱۲۰۰ دلار در دسترس هستند، در حالی که دسترسی به اقلام غیرمجاز قیمتی به مراتب کم‌تر دارد!

همانطور که می‌دانید،در بالا نیز ذکر شد، گواهی‌نامه‌های دیجیتالی صادر شده توسط یک صادرکننده‌ی گواهی‌نامه‌ی مورد اعتماد (CA)، برای برنامه‌ها و نرم‌افزارهای رایانه‌ای رمزنگاری شده مورد استفاده قرار گرفته و برای رایانه‌ی شما به‌منظور اجرای این برنامه‌ها، بدون هیچ‌گونه پیام هشداردهنده‌ای، مورد اعتماد هستند.

شایان ذکر است که؛نفوذگرها به‌منظور امضای کد مخرب خود، از گواهی‌نامه‌های امضاء شده با کد آسیب‌دیده‌ی مرتبط با فروشندگان معتبر نرم‌افزار استفاده می‌کنند. با این کار، احتمال شناسایی بدافزار آن‌ها بر روی شبکه‌های تشکیلات اقتصادی مورد هدف و دستگاه‌های مصرف‌کننده کاهش می‌یابد.بدافزار معروفِ Stuxnet نیز که در سال ۲۰۰۹ میلادی تاسیسات پردازش هسته‌ای ایران را مورد هدف قرار داد، از گواهی‌نامه‌های دیجیتالی قانونی استفاده می‌کرد. همچنین، به لطف رویکردی مشابه، با توجه به به‌روزرسانی نرم‌افزار دیجیتالی امضاء شده، آلودگی‌های بارگیری شده با نرم‌افزار CCleaner امکان‌پذیر شد.

امضای دیجیتالی

درحال حاضر، ۲۷ مورد از این گواهی‌نامه‌ی آسیب‌دیده لغو شده‌اند، هرچند بدافزار توسط یکی از ۸۴ گواهی‌نامه‌ی باقی‌مانده که لغو نشده‌اند، امضاء شده و تا زمانی که دارای یک نشانگر معتبر باشد، مورد اعتماد خواهد بود.محققان گفتند: «بخش بزرگی (۸۸٫۸ درصد) از خانواده بدافزارها به یک گواهی‌نامه‌ی منفرد وابسته هستند، که نشان می‌دهد گواهی‌نامه‌های مورد بهره‌برداری قرار گرفته، به‌جای اشخاص ثالث، عمدتاً توسط نویسندگان بدافزار کنترل می‌شوند.»

محققان دریافتند حتی زمانی که یک امضاء معتبر نیست، حداقل ۳۴ محصول ضدبدافزار موفق به بررسی اعتبار گواهی‌نامه نشدند، در نهایت، اجازه می‌دهند تا کد مخرب بر روی سامانه‌ی هدف اجرا شود.محققان آزمایش‌هایی را نیز برای تعیین اینکه آیا امضاهای ناقص می‌توانند شناسایی ضدبدافزارها را تحت تاثیر قرار دهند، انجام دادند. برای اثبات این موضوع، آن‌ها ۵ نمونه از باج‌افزارهای امضاء نشده‌ی تصادفی را بارگیری کردند که تقریباً تمام برنامه‌های ضدبدافزاری، نمونه‌های مخرب را شناسایی کردند.

۳ محصول برتر ضدبدافزاری، nProtect، Tencent و Paloalto، نمونه‌های باج‌افزاری امضاء نشده را به‌عنوان بدافزار شناسایی کردند، اما ۸ مورد از ۱۰ باج‌افزار را به‌عنوان بدافزار بی‌خطر (خوش‌خیم) در نظر گرفتند.حتی موتورهای ضدبدافزاری محبوب از آزمایشگاه کسپرسکی، مایکروسافت، ترندمیکرو، سمانتیک و کومودو نیز موفق به شناسایی برخی از نمونه‌های مخرب شناخته شده نشدند.

محققان گفتند: «ما معتقدیم که عدم توانایی در شناسایی نمونه‌های بدافزاری، ناشی از این واقعیت است که در هنگام فیلتر کردن و اولویت‌بندی فهرست پرونده‌ها برای پویش به‌منظور کاهش سربار محاسباتی اعمال شده بر روی میزبان کاربر، ضدبدافزارها حساب‌های کاربری را به‌صورت دیجیتال امضاء می‌کنند. با این حال، پیاده‌سازی نادرست بررسی‌های امضای Authenticode در بسیاری از ضدبدافزارها، نویسندگان بدافزار را قادر می‌سازد تا با یک روش ساده و ارزان، از شناسایی فرار کنند.»

 

منبع

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *