พบมัลแวร์ใช้ Code Signing ของ Certificate ปลอม!!

ตามรายงานของ Recorded Future พบว่ามีนำ Code Signing ของ Certificate มาใช้ เพื่อหลีกเลี่ยงการตรวจจับด้านความปลอดภัย กระบวนการทำงานของมันมีการใช้เทคนิคที่ค่อนข้างจะซับซ้อนเลยทีเดียว เพราะมันไม่ได้ขโมยมาจากเจ้าของ Certificate แต่มันจะออกก็ต่อเมื่อมีการร้องขอใบ Certificate เมื่อใบรับรองถูกสร้างขึ้นให้กับผู้ซื้อแต่ละราย และมีลงทะเบียนโดยใช้ใบรับรองของบริษัทที่ที่ขโมยมาทำให้ประสิทธิภาพในการป้องกันลดลง

อันที่จริงปัญหาเรื่อง Certificate ปลอมนั้นมีมานานแล้ว แต่สำหรับปัญหาที่พบนี้เพิ่งถูกพบเมื่อไม่กี่ปีนี้เอง เนื่องจากมีการซื้อขาย Certificate กันใน Dark Web

Recorded Future กล่าวว่า “จากข้อมูลที่ได้รับของผู้ขาย 2 ราย ขณะที่ทำการสนทนากันแบบส่วนตัว เพื่อยืนยันถึงปัญหา และอายุการใช้งานของผลิตภัณฑ์ ซึ่งใบรับรองทุกใบใช้ข้อมูลจริงจากบริษัท ทำให้เรามั่นใจได้ว่าบริษัทที่เป็นเจ้าของที่แท้จริงไม่รู้เรื่องว่ามีการนำข้อมูลมาใช้ในทางที่ผิดกฎหมาย” โดยใบรับรองทั้งหมดจะสร้างขึ้น 1 ใบต่อผู้ใช้ 1 รายเท่านั้น ระยะเวลาที่ใช้ในการส่งมอบประมาณ 2-4 วัน

ซึ่งได้มีการทดลองใช้ใบรับรองจากผู้ขายรายหนึ่ง พบว่ารายงานอัตราการตรวจจับการดำเนินการ Payload (การจู่โจมของ Malware) ของ Remote Access Trojan (RAT) ลดลง เมื่อใช้ใบรับรองของ Comodo ที่เพิ่งออกมา และเมื่อทำการทดสอบเวอร์ชั่น non-resident ของ Payload ปรากฎว่า มีเพียงผลิตภัณฑ์รักษาความปลอดภัยเดียวเท่านั้นที่รู้ว่าไฟล์นี้เป็นไฟล์อันตราย

นักวิจัยด้านความปลอดภัยระบุว่า “อุปกรณ์รักษาความปลอดภัยระดับเครือข่ายที่ใช้ Deep Packet Inspection (DPI) (เป็นฟีเจอร์ที่ใช้ในการค้นหามัลแวร์, สแปม และการโจมตีที่แอบแฝงเข้ามาในรูปแบบของทราฟฟิคปกติ) จะมีประสิทธิภาพลดลงเมื่อมีการใช้ทราฟฟิค SSL/TSL ที่เป็นมัลแวร์ที่มี Certificate ถูกต้อง การใช้ Netflow วิเคราะห์เพื่อลดความเสี่ยงจึงเป็นเรื่องสำคัญ การควบคุมเครื่องโฮสต์อาจใช้งานไม่ได้ เมื่อใช้ Code Signing ของ Certificate ที่ถูกต้อง

ย้อนไปเมื่อเดือนมีนาคมปี 2558 ได้มีผู้ใช้ที่ชื่อว่า C@T ได้แสดงข้อความบน messaging board ว่าสามารถแฮคหนังสือรับรองของ Microsoft (Microsoft Authenticode) สำหรับ 32 บิต/64 บิตได้ ซึ่งทำให้สามารถใช้งาน Microsoft Office, Microsoft VBA, Netscape Object Signing, Marimba Channel Signing documents และแอปพลิเคชั่น Silverlight 4 นอกจากนี้ยังมี Code Signing ใบรับรองของ Apple อีกด้วย ทาง C@T ได้ทำการโฆษณาบอกว่าใบรับรองที่ออกนั้นมาจาก Comodo, Thawte, Symantec และบริษัทที่จดทะเบียนถูกต้องตามกฎหมาย ซึ่งใบรับรองแต่ละฉบับที่ออกมาให้นั้นมีเพียงใบเดียว และจะถูกกำหนดให้ผู้ซื้อรายเดียวเท่านั้น ใบรับรองที่ออกนั้นจะช่วยเพิ่มอัตราความสำเร็จในการติดตั้งมัลแวร์ได้ 30-50% เลยทีเดียว ซึ่งในโฆษณานั้นยังกล่าวอีกว่า ได้ขายใบรับรองไปแล้วมากกว่า 60 ฉบับ ภายในระยะเวลาไม่ถึง 6 เดือน จากการโฆษณานี้ ทำให้ C@T สามารถดึงดูดลูกค้าได้จำนวนมากจากการขายใบรับรองนี้ บางกรณีสามารถขายได้ถึง 1,000 เหรียญต่อใบเลย

หลายปีต่อมา ก็ได้มีอีก 3 คน ที่ทำแบบเดียวกันกับ C@T โดย 1 ในสามนั้นเป็นพวกใต้ดินอาศัยอยู่แถวยุโรปตะวัน ส่วนอีก 2 รายนั้นขายใบรับรองปลอมให้กับคนที่พูดภาษารัสเซียเท่านั้น โดย 1 ใน สามรายที่กล่าวมานั้น เชี่ยวชาญในใบรับรองระดับ 3 (ไม่ได้รวมการรับรอง Extended Validation (EV)) และขายในราคา 600 เหรียญ นอกจากนี้นักวิจัยยังพบอีกว่า มีผู้ขายอีกหลายรายที่ขายใบรับรองของผลิตภัณฑ์อื่นๆ อีกด้วย

ใบรับรองปลอมอาจเกิดขึ้นได้ แต่ไม่คิดว่าจะกลายเป็นเรื่องสำคัญ อย่างไรก็ตาม วิธีการนี้ยังไม่ใช่เทคนิคหลักของ Hacker ทั่วไป เพราะค่าใช้จ่ายในการเข้ารหัสแต่ละครั้งมีราคาสูง แต่สำหรับแฮ็กเกอร์มืออาชีพยังคงใช้เทคนิคนี้หรือวิธีการนี้อยู่

ที่มา : Security Week