Pesquisa realizada pela empresa mostra que o número de malwares assinados com certificados digitais legítimos - não forjados ou roubados - chegou a 6.6% em 2012.
Uma pesquisa feita pela McAfee mostra um aumento acentuado no número de malwares assinados com certificados digitais legítimos - não forjados ou roubados. Essa é uma ameaça crescente que levanta a questão de saber se deve haver algum tipo de "serviços de reputação de certificados" ou outro método que impeça o abuso desse recurso.
Malware assinados com certificados legítimos aumentaram desde 2010, quando cerca de 1,3% de amostras foram encontradas assinadas, de acordo com a empresa de segurança. Esse número praticamente dobrou para 2,9% em 2011 e cresceu ainda mais para 6.6% em 2012.
Embora a taxa esteja ligeiramente inferior até agora, este ano, o montante total de abuso de certificados continua a crescer, porque a quantidade de novos malwares quase que dobra a cada ano.
Falando na conferência anual de usuários da empresa, David Marcus, diretor de pesquisa avançada e inteligência de ameaças da McAfee Labs, também identificou que malwares para Android legitimamente assinados (e quase inexistentes em 2010) cresceram para ser cerca de 7% de todo o malware Android em 2012 e constitui, hoje, 24%.
"Os certificados não são realmente maliciosos, eles são abusados", disse Marcus. Isso significa que o cracker conseguiu achar um certificado legítimo típico de uma empresa associada a uma Autoridade de Certificação, como Comodo, Thawte ou a VeriSign.
O atacante usa esse certificado legítimo para assinar o código malicioso a fim de enganar as defesas de segurança, como whitelists e sandboxes, disse o especialista.
A McAfee viu casos em que foram assinados centenas de amostras de malware com o mesmo certificado, enquanto que praticamente nenhum uso não-malicioso do certificado pode ser encontrado.
Tudo isso levanta a questão de saber se deve haver "serviços de reputação " para os certificados, para que as empresas possam se proteger contra malwares assinados com o que parece ser um certificado legítimo.
Marcus foi acompanhado em sua apresentação por James Wolfe, engenheiro-chefe de segurança da informação, o e CPO da Lockheed Martin, que disse que a questão dos "certificados abusados", usados para assinar o malware, recebeu mais atenção no início deste ano, quando uma série de ataques direcionados se tornaram públicos - embora a tática não seja inteiramente nova.
O executivo disse que malware assinado com certificado legítimo pode ser visto como uma espécie de "ameaça persistente avançada" que tenta comprometer a segurança nas organizações.
A McAfee apenas compilou dados e os analisou ao longo dos últimos meses, ainda não compartilhou com as autoridades certificadoras ou com a Symantec, e está considerando como a maior parte dos dados da pesquisa pode sugerir uma forma acionável para identificar "certificados abusados" a fim de bloquear ação de malwares. "Esta informação dá a capacidade de tomar uma decisão", disse Marcus.
Wolfe disse que tudo isso tem de ser cuidadosamente considerado, já que algo como a verificação de assinaturas em certificados abusados não parece viável.
Outro problema, diz Marcus, é que se tivessem que fazê-lo, os atacantes podem sempre decidir assinar cada malware criaram com um novo certificado legítimo. "Você pode ter um certificado para cada malware", observou ele. "Mas Deus nos ajude se chegarmos a isso."
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário