Schadcode mit gültigem Sony-Zertifikat

Kaspersky hat eine Version der Destover-Malware entdeckt, die mit erbeuteten Zertifikaten aus dem Sony-Pictures-Hack signiert wurde und so die Prüfung von Windows austricksen kann.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen
Die Signatur ist OK

(Bild: Kaspersky)

Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Hacker, die das Netzwerk von Sony Pictures komplett zerlegt haben, konnten bei ihrem Beutezug auf den Servern der Firma unter anderem Zertifikate mitgehen lassen, mit denen Sony Pictures seine Software signiert. Kaspersky hat jetzt einen Trojaner gefunden, der mit einem gültigen Sony-Zertifikat signiert wurde. Dabei handelt es sich um Destover – der selbe Schadcode wurde auch schon beim Hack gegen Sony Pictures eingesetzt.

Trojaner, die mit einem Zertifikat signiert wurden, dem sowohl Windows als auch AV-Programme vertrauen, werden unter Umständen ungehindert installiert. Außerdem lässt sich damit auch der Schutz durch Whitelisting umgehen, der den Start unbekannter Anwendungen verhindern soll. Solche Schutzmaßnahmen werden typischerweise in Bereichen mit hohen Sicherheitsanforderungen eingesetzt.

Mittlerweile hat DigiCert das entsprechende Zertifikat zurückgezogen, berichtet die britische Nachrichtenseite The Register. Damit ist wenigstens das Zertifikat, das Kaspersky mit Destover in Verbindung bringen konnte, aus dem Verkehr gezogen. Es ist allerdings wahrscheinlich, dass in der Zwischenzeit Systeme mit dem Trojaner infiziert wurden.

Laut Kaspersky führt die Spur der Kontrollserver übrigens in die USA und nach Bangkok in Thailand. Aus einem Hotel in Bangkok sollen auch die geleakten Dateien aus dem Hack hochgeladen worden sein. (fab)