Подписанное вредоносное ПО сложнее обнаружить с помощью решений безопасности, что упрощает проникновение в систему.

Хакеры продают легитимные цифровые сертификаты для подписи вредоносного ПО. Об этом сообщили исследователи безопасности из команды Insikt Group компании Recorded Future.

Сертификаты предназначены для цифровой подписи программного обеспечения разработчиками. Сертификат позволяет гарантировать пользователям, что код и содержимое являются безопасными для загрузки и установки. Большинство современных операционных систем по умолчанию запускают только подписанные приложения.

Приложения с цифровой подписью сложно обнаружить с помощью решений сетевой безопасности. Согласно исследованию, оборудование, использующее технологию DPI (deep packet inspection, углубленная проверка пакетов) для сканирования сетевого трафика, становится менее эффективным, если вредоносное ПО использует легитимный сертификат.

Специалисты выявили подпольный рынок по продаже легитимных сертификатов. Их стоимость варьируется от $299 до $1599 и выше за сертификаты расширенной проверки (Extended Validation Certificate, EV). Ассортимент включает сертификаты, выданные авторитетными центрами сертификации (ЦС), такими как Comodo, Symantec, Thawte и Apple.

Одним из первых сертификаты для вредоносного ПО начал предлагать хакер под псевдонимом C@T. В марте 2015 года C@T предложил для продажи сертификаты Microsoft для подписи 32/64-битных версий различных исполняемых файлов, а также Microsoft Office, Microsoft VBA, Netscape Object Signing и Marimba Channel Signing. По его словам, сертификаты были выданы авторитетными ЦС.

Примерно через два года еще три хакера начали предлагать услуги по продаже сертификатов на русскоязычных подпольных форумах. Из них двое до сих пор активно поставляют сертификаты злоумышленникам. Стандартные сертификаты подписи кода, выпущенные Comodo, которые не включают рейтинг репутации SmartScreen стоят $295. Покупателю, заинтересованному в сертификате расширенной проверки, выпущенном Symantec, придется заплатить $1599, что на 230% процентов выше по сравнению с ценой сертификата от ЦС. Оптовые покупатели могут купить полностью аутентифицированные домены с EV SSL-сертификатами и возможностью подписи кода за $1799. При этом все сертификаты создаются для каждого покупателя индивидуально на основе данных, похищенных у различных компаний.