Рекомендуем почитать:
Xakep #242. Фаззинг
- Содержание выпуска
- Подписка на «Хакер»
Недавно стало известно, что эксперты компании Chronicle изучили малварь, подписанную цифровыми сертификатами, и обнаружили, что эта тактика давно не является отличительной чертой правительственных хакеров или продвинутых хак-групп.
Для своего исследования эксперты изучили 3815 подписанных образцов вредоносного ПО, загруженных на VirusTotal за последний год. Обнаружилось, что преступники злоупотребляют сертификатами Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra, и Entrust. С огромным отрывом от других удостоверяющих центров стоит бывший Comodo, а теперь компания Sectigo, — их сертификатами оказались подписаны 1775 вредоносов.
Теперь представители Sectigo опубликовали ответ на это исследование, в котором заявили, что лишь 127 сертификатов из всех, обнаруженных специалистами Chronicle, были активны на момент публикации отчета. В настоящее время компания отозвала и их.
Более того, в Sectigo уверяют, что 90% (то есть около 2000) сертификатов, упомянутых в отчете специалистов, уже истекли, были отозваны или являлись дубликатами. Согласно внутренней статистике удостоверяющего центра, 1660 вредоносов были подписаны дубликатами сертификатов, еще у 70 сертификатов истек срок действия, 126 ранее были отозваны, и в отношении еще 25 сертификатов пока проводится расследование.
«Мы призываем экспертов компании Chronicle или любых других исследователей, которым стало известно о злоупотреблении сертификатами Sectigo, сообщать нам о нарушениях по адресу [email protected] или [email protected]», — резюмируют представители компании.
