Digital signierte Malware wesentlich häufiger als bisher angenommen

Digital signierte Malware rückte erstmals 2010 mit Stuxnet ins Rampenlicht. Im Zuge der folgenden Untersuchungen entdeckten Forscher diese Methode, die es erlaubt, Sicherheitssoftware wirkungsvoll zu umgehen, vereinzelt bei von staatlichen Einrichtungen entwickelter Malware und dann sogar bei von profitorientierten Kriminellen entwickelter Schadsoftware. Eine neue Untersuchung legt jedoch nahe, dass digital signierte Malware weitaus verbreiteter und schon deutlich länger in Umlauf ist, als bisher angenommen wurde.

Herausgefunden haben das Tudor Dumitraș, Bum Jun Kwon und Doowon Kim von der University of Maryland. Sie haben ihre Forschungsergebnisse vergangene Woche auf der ACM Conference on Computer and Communications Security (CCS) in Dallas vorgestellt und gleichzeitig eine Zusammenfassung ihrer Untersuchungen vorgelegt (PDF).

Die Forscher fanden demnach bisher 189 digitale signierte Malware-Samples. Dazu wurden kompromittierte Zertifikate verwendet, die von autorisierten Zertifizierungsbehörden herausgegeben wurden. 109 der so missbrauchten Zertifikate sind immer noch gültig. 136 weitere Malware-Samples wurden mit gültigen, von echten Authentifizierungsstellen ausgegebenen, aber fehlerhaften Zertifikaten signiert.

Die erste Malware, die sich mit einem missbräuchlich verwendeten Zertifikat auf Computer schlich, stammt Dumitras und seinen Kollegen zufolge bereits aus dem Jahr 2003. Sie war also schon sieben Jahre vor der Entdeckung von Stuxnet in Umlauf.

Bedeutsam ist diese Entdeckung aber vor allem deshalb, weil digital signierte Software nicht nur diverse Sicherheitsmaßnahmen in Windows problemlos umgehen kann, sondern in vielen Fällen auch gängige Anti-Malware-Produkte austricksen kann. Enttäuschend ist zudem, dass aufgrund von Schwächen in vielen gängigen Antivirus-Programmen bekannte, aber signierte Malware auch dann nicht erkennen, wenn deren Signatur nicht mehr gültig ist. Offenbar reicht das Vorhandensein einer Signatur, überprüft wird die vielfach nicht. Verantwortlich dafür ist offenbar eine fehlerhafte Implementierung von Microsofts Spezifikation für Authenticode.

Auch gängige Sicherheitssoftware lässt sich täuschen

Um das zu beweisen, beschafften sich die Forscher fünf unsignierte Schadprogramme, die von nahezu allen AV-Programmen erkannt werden. Die kombinierten sie dann mit je einem abgelaufenen Zertifikat, das zuvor für die Signierung einer legitimen Software und einer Malware verwendet worden war. Die daraus resultierenden 10 Dateien mit Schadcode ließen sie dann von einer Vielzahl gängiger Antivirenprogramme analysieren.

Der Versuch offenbar erhebliche Lücken in den Sicherheitsprodukten. Die Software von Palo Alto Networks hielt acht der zehn Dateien für legitim. Comodo ließ sechs der Dateien durch, ClamAV vier, Trend Micro drei. Bei Microsoft, Symantec, Avira, Fortinet, Malwarebytes und Sophos wurden im Test jeweils zwei nicht erkannten. Kaspersky versagte bei einer der modifizierten Dateien.

Schuld an dem Problem sind aber nicht alleine die Anbieter von AV-Software. Auch die schlechte Verwaltung der privaten Schlüssel durch Software-Hersteller ist ein Teil des Problems. Von den 189 durch die Forscher identifizierten Malware-Samples mit gültigen digitalen Signaturen wurden 75 bereits zuvor für legitime Software genutzt. Das spricht dafür, dass deren Hersteller nicht sorgsam genug damit umgegangen waren.

Und schließlich machen die Forscher die mangelhafte Überprüfung der Zertifizierungsstellen bei Anträgen für Zertifikate für die Code-Signierung für das Schlamassel mitverantwortlich. 22 der untersuchten Zertifikate wurden zum Beispiel nach einem Identitätsdiebstahl bei einer antragsberechtigten Firma an die falsche Person ausgegeben. Eine Liste der aller bekannten, zur Signierung von Malware verwandten Zertifikate findet sich auf http://signedmalware.org/.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.