Schadcode mit gĂĽltigem Sony-Zertifikat
Kaspersky hat eine Version der Destover-Malware entdeckt, die mit erbeuteten Zertifikaten aus dem Sony-Pictures-Hack signiert wurde und so die PrĂĽfung von Windows austricksen kann.
(Bild: Kaspersky)
- Fabian A. Scherschel
Die Hacker, die das Netzwerk von Sony Pictures komplett zerlegt haben, konnten bei ihrem Beutezug auf den Servern der Firma unter anderem Zertifikate mitgehen lassen, mit denen Sony Pictures seine Software signiert. Kaspersky hat jetzt einen Trojaner gefunden, der mit einem gültigen Sony-Zertifikat signiert wurde. Dabei handelt es sich um Destover – der selbe Schadcode wurde auch schon beim Hack gegen Sony Pictures eingesetzt.
Trojaner, die mit einem Zertifikat signiert wurden, dem sowohl Windows als auch AV-Programme vertrauen, werden unter Umständen ungehindert installiert. Außerdem lässt sich damit auch der Schutz durch Whitelisting umgehen, der den Start unbekannter Anwendungen verhindern soll. Solche Schutzmaßnahmen werden typischerweise in Bereichen mit hohen Sicherheitsanforderungen eingesetzt.
Mittlerweile hat DigiCert das entsprechende Zertifikat zurĂĽckgezogen, berichtet die britische Nachrichtenseite The Register. Damit ist wenigstens das Zertifikat, das Kaspersky mit Destover in Verbindung bringen konnte, aus dem Verkehr gezogen. Es ist allerdings wahrscheinlich, dass in der Zwischenzeit Systeme mit dem Trojaner infiziert wurden.
Laut Kaspersky fĂĽhrt die Spur der Kontrollserver ĂĽbrigens in die USA und nach Bangkok in Thailand. Aus einem Hotel in Bangkok sollen auch die geleakten Dateien aus dem Hack hochgeladen worden sein. (fab)
