Malware, von Amts wegen vertrauenswürdig [Update]

Untersuchungen des Antivirenherstellers F-Secure zufolge kursiert immer mehr digital signierte Malware für Windows – auch Scareware trägt immer häufiger eine gültige digitale Unterschrift. Die Virenautoren wollen damit diverse Hürden auf Windows-Systemen nehmen und Warnungen unterdrücken, die etwa beim Versuch der Installation eines ActiveX-Controls im Internet Explorer oder der Installation eines Treibers erscheinen. F-Secure zählt in seiner Liste potenziell unerwünschter Programme fast 400.000 digital signierte Samples. Bei Malware liegt der Umfang immerhin noch bei fast 24.000 Exemplaren.

Unter Windows dient Authenticode zum Unterschreiben und Prüfen von Software, es soll dessen Herkunft belegen können. Üblicherweise bringen Anwender digital signierter Software Vertrauen entgegen. Bei nicht digital signierter Software warnt ein Dialog den Anwender, der der weiteren Installation explizit zustimmen muss. In den 64-Bit-Versionen von Windows 7 und Vista ist die Installation eines nicht signierten Treibers gar nicht möglich, selbst wenn der Anwender eine Warnung abnicken würde.

Die Virenautoren schaffen es laut F-Secure mit diversen Tricks, an gültige digitale Signaturen respektive Zertifikate für ihre Programme zu gelangen. Die zuverlässigste Methode ist, sich bei einer Certificate Authority ein Codesigning-Zertifikat zu erschwindeln. Offenbar sind die Hürden dafür mittlerweile ebenso gering, wie an ein gültiges SSL-Server-Zertifikat zu gelangen – eine gültige E-Mail-Adresse genügt. Zudem nutzen die Betrüger und Kriminellen auch Dienstleister wie Digital River, die Software für Kunden signieren.

Aber auch gestohlene Zertifikate beziehungsweise private Schlüssel lassen sich von Virenautoren zum Unterschreiben der eigenen Software missbrauchen. Einige Versionen der Botnetz-Familien Adrenalin, Ursnif und ZeuS sollen Funktionen enthalten, um derartige Daten von infizierten Entwickler-PCs auszulesen. Bislang hat F-Secure jedoch noch keinen Schädling in seiner Malware-Datenbank gesichtet, bei dem ein gestohlener Schlüssel wirklich benutzt wurde.

Dafür kommt es wohl häufiger vor, dass ein Trojaner auf Entwicklersystemen Dateien infiziert und später das ganze Softwarepaket inklusive Trojaner signiert und verteilt wird. Daneben unterzeichnen die Virenprogrammierer ihre Samples auch sehr häufig mit selbst signierten Schlüsseln und Zertifikaten, bei denen gefälschte Angaben über den Aussteller oder Inhaber Programme und Anwender in die Irre führen sollen.

Bislang brennt das Thema nach Einschätzung von F-Secure noch nicht auf den Nägeln, da die Virenautoren noch nicht in großem Stil auf den Zug aufgesprungen sind. Dies könne sich jedoch mit der flächendeckenden Verbreitung von Windows 7 ändern, weil dort Authenticode eine noch wichtigere Rolle spiele als bei bisherigen Windows-Versionen. Wichtig sei dann, dass die Antivirenhersteller eng mit den Certificate Authorities zusammenarbeiten, um schnell kompromittierte oder missbräuchlich eingesetzte Zertifikate (und Schlüssel) sperren zu können.

[Update:] Der Antivirenhersteller Sophos berichtet in seinem Blog von Malware, die auf Windows-Systemen von den Virenautoren selbst erstellte Root-Zertfikate installiert. Das gefälschte Wurzel-Zertifikat gibt vor, von VeriSign zu stammen. Damit unterschriebene Malware verursacht dann ebenfalls keine Warnung mehr auf dem System. Dem untergeschobenen Zertifikat kommt man nur durch Vergleich der Serienummern der offiziell von VeriSign herausgegebenen Zertifikate auf die Schliche.[/Update] (dab)