image

Bij D-Link gestolen certificaat gebruikt voor malware

maandag 9 juli 2018, 13:23 door Redactie, 3 reacties

Aanvallers zijn erin geslaagd om certificaten van netwerkbedrijf D-Link en Changing Information Technologies te stelen die worden gebruikt voor het signeren van software en hebben daarmee hun malware gesigneerd. De gestolen certificaten werden gebruikt voor het signeren van de Plead-malware en een gerelateerde wachtwoordsteler.

De Plead-malware is een backdoor die aanvallers op afstand volledige controle over het systeem geeft, zo meldt anti-virusbedrijf ESET. Via de wachtwoordsteler werden in Google Chrome, Internet Explorer, Microsoft Outlook en Mozilla Firefox opgeslagen wachtwoorden gestolen. Het bij D-Link gestolen certificaat werd op 3 juli ingetrokken, een dag later volgde het certificaat van Changing Information Technology. Toch maken de aanvallers nog steeds van dit laatste certificaat gebruik voor het signeren van hun malware.

Hoe de aanvallers de certificaten konden stelen is onbekend. Door hun malware met de gestolen certificaten te signeren konden de aanvallers die als legitieme applicatie voordoen en heeft de malware een grotere kans om niet te worden opgemerkt. Het komt vaker voor dat aanvallers gestolen certificaten voor hun malware gebruiken. Een bekend voorbeeld is de Stuxnet-worm die gebruikmaakte van certificaten die bij RealTeak en JMicron waren gestolen.

Volgens anti-virusbedrijf Trend Micro is de Plead-malware tegen de Taiwanese overheid en private organisaties ingezet. De aanvallers hebben het daarbij vooral op vertrouwelijke documenten voorzien. Om de malware te verspreiden maken de aanvallers gebruik van spearphishingmails die een kwaadaardige bijlage bevatten of naar de malware linken. De meegestuurde of gelinkte bestanden doen zich voor als documenten en maken gebruik van de right-to-left-override (RTLO) techniek om de bestandsextensie van de malware te verbergen.

Reacties (3)
09-07-2018, 14:46 door Bitwiper
Er zijn geen certificaten gestolen, maar private keys. Certificaten bevatten geen geheimen, integendeel: ze zijn bedoeld om te worden verspreid.

Code-signing certificaten worden samen met de digitaal ondertekende bestanden (meestal binaries, maar dat hoeft niet) verspreid (meestal samen met 1 of meer intermediate certificaten), net zoals elke https server haar server certificaat (eveneens meestal samen met 1 of meer intermediate certificaten) automatisch naar jouw webbrowser stuurt zodra je zo'n website bezoekt.

Code-signing vindt plaats met een private key, horend en passend bij de public key in een certificaat. Als je een kopie van zo'n private key hebt, kun je namens de eigenaar (genoemd in het certificaat) bestanden ondertekenen. Het is dus zaak om private keys zeer goed te beschermen.

Het is ook belangrijk om "buildstraten" grondig te beschermen indien code signing daarin automatisch plaatsvindt. Als een aanvaller toegang weet te krijgen tot zo'n "buildstraat", heeft zij geen directe toegang tot de private key nodig om toch malware gesigneerd te krijgen, zoals Adobe in 2012 ondervond (zie https://www.security.nl/posting/38210/Hackers+signeren+malware+met+Adobe+certificaat).
09-07-2018, 18:07 door Anoniem
Door Bitwiper: Er zijn geen certificaten gestolen, maar private keys. Certificaten bevatten geen geheimen, integendeel: ze zijn bedoeld om te worden verspreid.
Volgens ESET is er wel sprake van diefstal van certificaten.
https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/
09-07-2018, 21:35 door Bitwiper - Bijgewerkt: 09-07-2018, 21:38
Door Anoniem: Volgens ESET is er wel sprake van diefstal van certificaten.
Dat is een blog van een individu die ofwel denkt er goed aan te doen om te vereenvoudigen, ofwel er geen barst van snapt.

Security.nl zou zich moeten onderscheiden van alle sites die deze onzin klakkeloos overnemen, want desinformatie kan goedbedoelende mensen op het verkeerde been zetten - en daar schiet niemand (behalve cybercriminelen) iets mee op.

Overigens is D-Link in 2015 al in de fout gegaan met gelekte private keys (zie de links hieronder). Ik ben benieuwd of de private keys deze keer via een inbraak zijn gestolen, of dat zij opnieuw door D-Link zelf op github o.i.d. zijn gepubliceerd.

https://www.security.nl/posting/444688/Microsoft+zegt+vertrouwen+op+in+4+certificaten+van+D-Link
https://tweakers.net/nieuws/105137/d-link-blundert-met-vrijgeven-privesleutels-van-certificaten.html
https://www.theregister.co.uk/2015/09/18/d_link_code_signing_key_leak/
https://security.stackexchange.com/questions/100700/has-the-leaked-d-link-windows-signing-key-been-revoked/100714#100714

(Overigens lijkt Tweakers vanavond problemen te hebben met hun site).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.