Quale è la Certification Authority (CA) che ha emesso il maggior numero di certificati utilizzati per firmare malware caricati su VirusTotal?
La maggior parte dei certificati digitali utilizzati per firmare gli esempi di malware sottoposti per analisi alla piattaforma VirusTotal di Google negli ultimi dodici mesi è stata emessa dall’autorità di certificazione (CA) Comodo CA (nota anche come Sectigo).
I ricercatori dell’azienda di sicurezza Chronicle hanno analizzato le sottomissioni inviate nei dodici mesi antecedenti la data del 7 maggio 2019 scoprendo che su un totale di 3.815 campioni di malware firmati digitalmente, 1.775 sono stati firmati utilizzando un certificato digitale emesso dalla CA Comodo RSA Code Signing CA.
Gli sviluppatori di malware firmano il proprio codice per evitare il rilevamento da parte delle principali soluzioni di sicurezza. Gli autori di malware acquistano i certificati direttamente presso le CA o tramite rivenditori, essi sono quindi utili per firmare i codici malevoli sino a quando la CA non li avrà revocati.
Al momento, sottolineano i ricercatori, l’unico vero strumento per combattere l’abuso di certificati è la revoca di quel certificato, un processo attraverso il quale la CA afferma che il certificato non è più affidabile e che introduce un ritardo in cui il malware firmato può essere ancora considerato “affidabile” e quindi il codice con esso firmato legittimo.
“La catena di fiducia è relativamente semplice: i certificati sono firmati (rilasciati) da autorità di certificazione (CA) attendibili, che hanno il supporto di una CA padre affidabile”, si legge nello studio pubblicato da Chronicle. “Questo modello di fiducia ereditato è spesso abusato dagli autori di malware che acquistano i certificati direttamente o tramite rivenditori. Proprio quest’ultimi spesso mancano in diligenza nella verifica dell’acquirente”.
L’indagine
L’indagine condotta dagli esperti di Chronicle si è concentrata sui file eseguibili firmati digitalmente e caricati su VirusTotal. I ricercatori hanno filtrato un gran numero di campioni, as esempio tutti gli esemplari con meno di 15 rilevazioni aggregate sono stati esclusi.
Chronicle ha calcolato il numero distinto di campioni firmati con certificati digitali emessi dalle diversa CA ed è emerso quanto segue.
Comodo ha rilasciato il maggior numero di campioni firmati, circa 1.775, seguono Thawte com 509, VeriSign con 261, Sectigo (ex Comodo) con 182, Symantec con 131 e DigiCert con 118.
“Le CA i cui certificati hanno firmato 100 o più campioni di malware rappresentano quasi il 78% degli esemplari digitalmente firmati e caricati su VirusTotal.” Continua Chronicle.
Gli esperti hanno spiegato che al momento dell’analisi (8 maggio 2019), il 21% dei campioni era stato già revocato, circostanza che conferma che le principali CA stanno intraprendendo qualche azione per contrastare gli abusi. È importante considerare che la revoca di un certificato si riflette nel set di dati di VirusTotal solo dopo che il campione firmato è stato nuovamente esaminato dalla piattaforma dopo che la richiesta di revoca da parte della CA sia stata emessa.
Un numero di malware che cresce
L’utilizzo di codici malevoli digitalmente firmati non rappresenta una novità nel panorama delle minacce cyber, quello che emerge tuttavia da questa ricerca è l’incremento di abusi attribuibili ad attori malevoli dediti al crimine informatico.
Gli esperti non hanno dubbi, nel prossimo futuro ci imbatteremo in un numero crescente di malware firmati digitalmente al fine di eludere i principali meccanismi di sicurezza.
“La tendenza da parte di attori finanziariamente motivati all’acquisto di certificati digitali per la firma di codici malevoli evidenzia i difetti intrinseci della sicurezza basata sul concetto di “chain of trust”. I codici firmati non sono più solo una peculiarità di minacce nation-state che rubano i certificati di firma del codice dalle vittime; oggi sono facilmente accessibili da parti degli sviluppatori di malware che operano in contesti cyber criminali. “conclude lo studio.” L’impatto è amplificato dalla portata e dalle dimensioni delle tipiche campagne crimeware. Aspettatevi quindi di vedere un incremento notevole del numero di malware firmati digitalmente.”
