IT-Security

Malware trickst Virenscanner mit legitimen Zertifikaten aus

| Redakteur: Jürgen Schreier

Zahlreiche Schadprogramme geben sich mit legitimen Zertifikaten oder gefälschten digitalen Unterschriften als harmlose Apps aus.
Zahlreiche Schadprogramme geben sich mit legitimen Zertifikaten oder gefälschten digitalen Unterschriften als harmlose Apps aus. (Bild: Pixabay / CC0)

Den Missbrauch von digitalen Unterschriften und Zertifikaten haben Forscher der Universität von Maryland untersucht. Bei 189 Malware-Proben wurden legitime Zertifikate gefunden. Damit können Hacker viele Schutzmechanismen austricksen, indem sie ihre Schadprogramme als harmlose Software ausgeben.

Dass Antiviren-Software allein keinen ausreichenden Schutz vor Malware bietet, dürfte mittlerweile hinlänglich bekannt sein. Zum einen liegt das daran, dass kriminelle Programmierer sehr schnell arbeiten und immer neue Schädlinge entwickeln oder bereits bekannte Malware so modifizieren, dass sie von den Antivirenprogrammen nicht mehr identifiziert werden kann. Zwar reagieren auch die Hersteller von Virenscannern und Schutzprogrammen auf diese Entwicklungen. Trotzdem entstehen kurze Zeitfenster, in denen sich die Viren und Trojaner verbreiten können.

Angreifer versehen Malware mit legitimen Zertifikaten

Zum anderen müssen sich die lokalen Kopien der Viren-Software auf den einzelnen Computern die neuen Informationen erst einmal holen. Es muss also ein Update durchgeführt werden, damit die neuste Malware erkannt wird. Ein dritter Faktor wurde bislang jedoch weitgehend unterschätzt, denn viele der Schädlinge verfügen über legitime digitale Unterschriften oder Zertifikate, mit deren Hilfe sie Schutzmaßnahmen umgehen können.

Wie weit der Missbrauch der Unterschriften und Zertifikate geht, wurde an der Universität von Maryland untersucht. Ihre Ergebnisse präsentierten die Forscher auf der ACM Conference of Computer and Communications Security (CCS) in Dallas. Bei 189 Malware-Proben fanden sie legitime Zertifikate. Mit diesen können Hacker viele Schutzmechanismen austricksen, indem sie ihre Schadprogramme als harmlose Software ausgeben. Doch wie kann es sein, dass Malware Zertifikate erhält, die ihr Unbedenklichkeit bescheinigen?

Digitale Unterschriften sind leicht zu fälschen

In einigen - allerdings seltenen - Fällen, haben die Aussteller der Zertifikate offenbar schlampig gearbeitet. Sie haben zu wenig Sorgfalt bei der Verifizierung walten lassen und sind scheinbar einem Identitätsschwindel aufgesessen, bei dem sich die Hacker als große und seriöse Unternehmen ausgaben. In anderen Fällen wurden Zertifikate einfach übertragen, mit denen bereits eine völlig andere Software legitimiert wurde. Hier ist davon auszugehen, dass die ursprünglichen Besitzer keine Kontrolle mehr über ihre Zertifizierungsschlüssel haben.

Ein dritter Faktor betrifft die digitalen Unterschriften. Hier existiert keine zentrale Datenbank, die von den Herstellern von Sicherheitssoftware genutzt werden könnte. Das macht es Kriminellen natürlich einfacher, solche Unterschriften zu fälschen.

Schließlich untersuchten die Forscher, wie wirksam Schutz-Software gegen illegitime Zertifikate ist. Ihr Ergebnis macht wenig Hoffnung: Keines der Programme konnte alle präparierten Schädlinge erkennen. Wer sich also beim Schutz des Computers auf eine rein technische Absicherung verlässt, muss sich nicht wundern, wenn er plötzlich doch einen Virus oder einen Trojaner auf dem Computer hat, so das IT-Security-Unternehmen 8com GmbH & Co. KG, Neustadt an der Weinstraße.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44999191 / IoT-Security)