So wird typischerweise eine reguläre digitale Signatur erstellt (Bild: Kaspersky Lab)Die Programmierer von Malware waren schon immer äußerst erfindungsreich, wenn es darum geht, sich Zugang auf fremde Rechner zu verschaffen. Der neueste Trend ist aber besonders fies: Denn nach Erkenntnissen von Kaspersky Lab hat sich die Anzahl nicht vertrauenswürdiger Zertifikate zur Signierung von Schadprogrammen im Jahr 2014 im Vergleich zum Vorjahr verdoppelt. So enthielt die Antiviren-Datenbank des IT-Sicherheitsexperten Ende des vergangenen Jahres mehr als 6.000 nicht vertrauenswürdige und daher gefährliche Zertifikate.

»Virenschreiber stehlen und imitieren gültige Signaturen, um Nutzern und Antiviren-Lösungen vorzugaukeln, eine Datei sei sicher«, sagt Holger Suhl, General Manager DACH bei Kaspersky Lab. »Wir beobachten diese Methode bereits seit einigen Jahren – vor allem bei ‚Advanced Persistent Threats’.« Kaspersky Lab empfiehlt deshalb Unternehmen und Systemadministratoren, digitalen Zertifikaten niemals uneingeschränkt zu vertrauen. Außerdem sollte der Start von signierten Dateien ausschließlich auf Basis der Signatur-Stärke verhindert werden.

Anzeige

Gestohlene Zertifikate werden anscheinend im Cyberuntergrund angeboten

Es gibt zahlreiche Beispiele, wie Cyberattacken auf Basis gestohlener oder gefälschter Zertifikate erfolgten. So nutzte der berüchtigte Stuxnet-Wurm gestohlene Zertifikate von Realtek und JMicron. Die Akteure der Cyberkampagne Winnti entwendeten Zertifikate, die von kompromittierten Unternehmen aus dem Gaming-Bereich stammten, und setzten diese dann für neue Attacken ein. Dieselben Zertifikate wurden auch bei Angriffen von chinesischen Hackergruppen verwendet – laut Kaspersky auch ein Hinweis darauf, dass diese im Cyberuntergrund angeboten wurden. Die Hintermänner der Cyberspionagekampagne Darkhotel signierten ihre Backdoor-Programme mit digitalen Zertifikaten; sie hatten offensichtlich Zugang zu den geheimen Schlüsseln, die für die Herstellung gefälschter Zertifikate benötigt werden.

Fünf Sicherheitstipps zum Erkennen gefälschter Zertifikate

Unternehmen sollten deshalb die Kontrolle über signierte Dateien mittels Antiviren-Schutzlösungen sowie Sicherheitsrichtlinien optimieren. Kaspersky hat fünf Sicherheitstipps zusammengestellt, wie das Risiko einer Infizierung über Zertifikattäuschungen verringert werden kann:
► 1. Der Start von Programmen, die von unbekannten Softwareanbietern digital signiert wurden, sollte generell verboten werden. Die meisten Zertifikate werden von kleinen Entwicklerfirmen gestohlen.
► 2. Tauchen Zertifikate unbekannter Zertifizierungsstellen auf, sollten diese nicht im Speicher installiert werden.
► 3. Systemadministratoren sollten den Start von Programmen nicht gestatten, die ausschließlich auf Basis des Zertifikatnamens vertrauenswürdiger Zertifikate signiert sind. Weitere Parameter wie Seriennummer und Fingerabdruck des Zertifikats (Hash-Summe) sollten immer mit überprüft werden.
► 4. Das Microsoft-Update MS13-098 sollte installiert sein.
► 5. Unternehmen sollten IT-Sicherheitslösungen einsetzen, die eine eigene Datenbank mit vertrauenswürdigen und nicht vertrauenswürdigen Zertifikaten besitzen.