La firma del codice è un metodo per utilizzare una firma digitale basata su certificato per un pezzo di software in modo che il sistema operativo e gli utenti possano determinarne la sicurezza. Solo il software corretto può utilizzare la firma digitale corrispondente.
Gli utenti possono scaricare e installare software in tutta sicurezza e gli sviluppatori proteggono la reputazione dei loro prodotti con la firma del codice. Tuttavia, hacker e distributori di malware utilizzano proprio questo sistema per ottenere codice dannoso tramite suite antivirus e altri programmi di sicurezza . Allora, cos'è il malware con firma codice e come funziona?
Cos'è il malware Code Signed?
Quando il software è firmato digitalmente, significa che dispone di una firma digitale ufficiale. L'autorità di certificazione rilascia un certificato a un software per determinare che il software è legale e sicuro da usare.
Gli utenti non dovranno preoccuparsi perché il sistema operativo controllerà il certificato e verificherà la firma digitale. Ad esempio, Windows utilizza una catena di certificati che contiene tutti i certificati necessari per garantire la legittimità del software.
La catena di certificati contiene tutti i certificati necessari per certificare l'entità identificata dal certificato finale. In realtà, è costituito da un certificato terminale, un certificato CA intermedio e un certificato CA radice considerato attendibile da tutte le parti della catena. Ogni certificato CA intermedio nella catena contiene un certificato emesso dalla CA di un livello superiore. La CA radice emette certificati per se stessa.
Una volta che il sistema è attivo e funzionante, puoi fidarti del software, del sistema di firma del codice e della CA. Il malware è un software dannoso, non è attendibile e non ha accesso all'autorità di certificazione o alla firma del codice.
Gli hacker rubano i certificati dall'autorità di certificazione
Il software antivirus riconosce che il malware è dannoso perché influisce negativamente sul tuo sistema. Attiva avvisi, gli utenti segnalano problemi e il software antivirus può creare firme malware per proteggere altri computer utilizzando lo stesso motore antivirus.
Tuttavia, se i creatori di malware potessero firmare il malware utilizzando le firme digitali ufficiali, il processo sopra descritto non si verificherebbe. Invece, il malware Code-singed può entrare nel sistema attraverso il percorso ufficiale perché il software antivirus e il sistema operativo non rilevano nulla di pericoloso.
Secondo una ricerca Trend Micro, l'intero mercato del malware è focalizzato sul supporto dello sviluppo e della distribuzione di malware con firma codice. Gli operatori di malware hanno accesso a certificati validi utilizzati per firmare codice dannoso. La tabella seguente mostra la quantità di malware che utilizza la firma del codice per eludere il software antivirus da aprile 2018.
La ricerca di Trend Micro mostra inoltre che circa il 66% del malware dispone di firme digitali. Inoltre, esistono alcuni tipi specifici di malware che dispongono di più versioni di firme digitali come trojan , dropper e ransomware .
Da dove viene il certificato digitale di firma del codice?
I distributori e gli sviluppatori di malware hanno due modi per creare malware con firma in codice. Rubano certificati dall'autorità di certificazione direttamente oppure acquisendo o spacciandosi per un'organizzazione legittima e richiedendo un certificato alla CA.
Come puoi vedere, CA non è l'unico luogo preso di mira dagli hacker. I distributori con accesso a certificati legittimi possono vendere certificati affidabili firmati digitalmente a sviluppatori e distributori di malware.
Un gruppo di ricerca sulla sicurezza dell'Università Masaryk nella Repubblica Ceca e del Maryland Cybersecurity Center ha scoperto quattro organizzazioni che vendono certificati Microsoft Authenticode ad acquirenti anonimi. Una volta che uno sviluppatore di malware ha un certificato Microsoft Authenticode, può firmare qualsiasi possibile malware tramite la firma del codice e la protezione basata su certificato.
In altri casi, invece di rubare i certificati, gli hacker si infiltreranno nel server di creazione del software. Quando viene rilasciata una nuova versione del software, avrà un certificato legittimo e gli hacker sfruttano questo processo per aggiungere codice dannoso.
Esempio di malware firmato in codice
Allora, che aspetto ha il malware firmato in codice? Di seguito sono riportati tre esempi di questo tipo di malware.
Come evitare il malware firmato in codice?
Questo tipo di malware utilizza la firma del codice per evitare il rilevamento da parte di software e sistemi antivirus, pertanto la protezione dal malware con firma del codice è estremamente difficile. Aggiornare sempre software e sistemi antivirus è fondamentale, evitare di cliccare su link sconosciuti e controllare attentamente da dove proviene il collegamento prima di seguirlo. Fare riferimento all'articolo Rischi derivanti dal malware e come evitarlo .
Un'interfaccia utente sostituisce Samsung Experience come interfaccia personalizzata Samsung per Android. È semplificato, ordinato e progettato per visualizzare solo le informazioni essenziali, riducendo le distrazioni.
Il decibel (dB) è un'unità di misura standard, utilizzata per misurare la potenza dei segnali di rete cablata e wireless.
Le reti private virtuali sono convenienti, facili da usare e rappresentano una componente importante delle configurazioni di computer e smartphone. Insieme al firewall e alla soluzione antivirus/antimalware, dovresti installare una VPN in modo che ogni momento che trascorri online sia completamente privato.
Telnet è un protocollo a riga di comando utilizzato per gestire in remoto vari dispositivi come server, PC, router, switch, telecamere, firewall.
Quando qualcuno parla di conservazione dei dati sensibili, probabilmente sentirai il termine “corruzione dei dati”. Allora, cos'è la "corruzione dei dati" e come puoi riparare i tuoi file se qualcosa va storto?
Catalyst Control Center è un'utilità fornita con il driver che aiuta il funzionamento delle schede video AMD. Appare come CCC.exe nel Task Manager dell'utente e nella maggior parte dei casi non dovrai mai preoccuparti di questo.
La firma del codice è un metodo per utilizzare una firma digitale basata su certificato per un pezzo di software in modo che il sistema operativo e gli utenti possano determinarne la sicurezza. Che cos'è il malware con firma codice e come funziona?
Man mano che la tecnologia che ci circonda evolve, anche i firewall devono essere portati nel cloud per stare al passo con la tendenza. Ecco perché è nato il termine firewall cloud.
Nel 2017, i ricercatori di sicurezza hanno rilevato circa 23.000 campioni di malware ogni giorno, ovvero circa 795 malware prodotti ogni ora. Recentemente è emerso un nuovo malware molto sofisticato chiamato Mylobot.
NTFS, FAT32, exFAT sono file system su Windows, ma nello specifico cos'è NTFS, cos'è FAT32, cos'è exFAT, quali sono le loro somiglianze e differenze? Invitiamo i lettori a fare riferimento a questo articolo.
