เมื่อช่วงเดือนที่ผ่านมา ทาง admin เคยได้ไปพูดในงาน Redpill 2017 ว่าด้วยเรื่อง Endpoint Protection Is Not Enough กล่าวถึงการใช้วิธีต่างๆในการ bypass Antivirus ซึ่งหนึ่งในนั้นคือการสร้าง digital certificate ปลอมของ Microsoft แล้ว sign ไปยังไฟล์ malicious file ใดๆ ทำให้สามารถ bypass การตรวจจับของ Antivirus ได้หลายๆตัว ล่าสุดมีการพยายามทำคล้ายๆกัน แตกต่างกันที่เค้าไปซื้อ digital certificate ของจริงที่ถูกขโมยมาแทน

Cyber Security Research Institute (CSRI) ได้กล่าวว่าได้ทำการทดสอบไปซื้อ digital code-signing certificates ที่ถูกขายใน dark web ในราคา $1,200

Digital code-signing certificate ของบริษัทผลิตซอฟแวร์ต่างๆเป็นสินค้าที่ถูกซื้อขายใน dark web โดย digital certificate นั้นถูกสร้างโดย trusted certification authority (CA) แล้วถูกนำมา sign (หรือเรียกว่าลงสลักก็ว่าได้) ไปยัง software เพื่อเป็นการพิสูจน์ว่า software นั้นถูกสร้างมาจากบริษัทนั้นจริงๆ และเชื่อถือได้นั่นเอง

เมื่อมันกลายเป็นแบบนั้นพอมี binary ไฟล์ไหนที่ถูก sign โดย digital certificate ที่ถูกสร้างจาก trusted certificate authority (CA) ใดๆ จะทำให้ Antivirus เชื่อถือและปล่อยให้ผ่านไปได้โดยไม่มีการตรวจสอบใดๆนั่นเอง

ทาง Security Researcher ที่ประกอบไปด้วย Doowon Kim, BumJun Kwon และ Tudor Dumitras จาก University of Maryland, College Park ได้ลองเอา malware 325 ตัวที่ถูก sign ซึ่งมี 189 (58.2%) ตัวอย่างที่ใช้ valid digital signatures และมี 136 ตัวอย่างที่ทำ digital signatures ปลอมๆขึ้นมา

ทางทีมได้ทำ paper งานวิจัยนี้ขึ้นมาที่ชื่อว่า “Certified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI.” ซึ่งทีมงานพบว่าแม้จะเป็นไฟล์ malware จริงๆแต่เมื่อถูก sign ด้วย digital certificate ก็จะทำให้สามารถ bypass antivirus ได้

Researcher พบว่าจาก malware 189 ตัวที่นำ digital certificate ทั้งหมด 111 certificate ที่ถูกสร้างด้วย trusted CA มา(ที่ซื้อมาจาก dark web) sign ทำให้สามารถ bypass Antivirus 34 ยี่ห้อซึ่งรวมถึงเจ้าดังๆอย่าง nProtect, Tencent, และ Paloalto. ได้

ซึ่งในขณะที่เขียนอยู่นี้มี digital certificate 27 certificate ที่ถูกเพิ่งถอนไม่รองรับแล้ว แต่ก็บ่งบอกถึงประสิทธิภาพของ Antivirus มากเลยทีเดียว

Source:: SecurityAffairs