Schädlinge unterminieren Windows-Zertifikats-System

Immer mehr Trojaner installieren eigene Root-CAs in Windows, um damit ihre Schadprogramme signieren oder Web-Seiten-Aufrufe manipulieren zu können.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen
Schädlinge unterminieren Windows-Zertifikats-System

(Bild: HAKINMHAN / Shutterstock.com)

Lesezeit: 3 Min.

Zertifikate sichern verschlüsselte Verbindungen und identifizieren mit digitalen Signaturen die Software vertrauenswürdiger Entwickler. Zertifikate und Unterschriften werden dann als gültig betrachtet, wenn sie von einem anerkannten Zertifikatsherausgeber unterschrieben sind. Dieses Vertrauen erschleichen sich Kriminelle immer öfter, indem sie sich selbst ein passendes Zertifikat auf den Systemen ihrer Opfer installieren.

Ein über Youtube verbreiteter Schädling gab sich als Coin-Generator und Aimbot für das Survival-Game Fortnite aus. Im Hintergrund liest er die Web-Seiten-Aufrufe der Gamer mit, und schleust dort eigene Werbung ein. Um das auch bei verschlüsselten HTTPS-Seiten zu machen, installiert er eine eigene Root-CA und klinkt sich dann als Man-in-the-Middle in die Verbindungen ein (siehe: Man-in-the-Middle-Angriff: Online-Zocker im Visier von Online-Kriminellen)

Der von Kaspersky analysierte, bösartige Downloader Rakhni installiert wahlweise einen Krypto-Miner oder einen Erpressungs-Trojaner auf dem System seiner Opfer. Zuvor unternimmt er jedoch einiges, um der eigentlichen Schad-Software den Weg zu bereiten. Er testet zunächst auf verschiedene Arten, ob er in einer Virtuellen Maschine läuft, ob Analyse-Tools laufen und er deaktiviert Antiviren-Software wie den Windows Defender. Und bevor er weitere Schadprogramme nachlädt, korrumpiert er auch noch das Windows-Zertifikats-System nachhaltig.

Dazu installiert er über ein mitgebrachtes Original-Kommandozeilen-Tool eine neue Root-CA im Zertifikatsspeicher des Windows-Systems. Die neue Zertifizierungsstelle ist auf den Namen von Microsoft oder Adobe ausgestellt und darf zukünftig dann die Echtheit von digitalen Unterschriften bestätigen. Davon machen die Kriminellen regen Gebrauch: Alle nachinstallierten Malware-Komponenten sind damit signiert. Vermutlich erhoffen sich der Autoren, sich auf diesem Weg das Vertrauen von Viren-Wächtern zu erschleichen oder spezielle Security-Policies zu umgehen.

Das sind nicht die ersten Fälle von bösartigen Root-CAs, die Schädlinge gezielt in das System einschleusen. Der Trojaner Retefe beispielsweise installierte bereits vor Jahren ein vorgebliches Thawte-Zertifikat für Online-Banking-Betrügereien. Mit der zunehmenden Verbreitung von TLS und digitalen Signaturen greifen jetzt immer mehr Schädlinge zu solchen Tricks. Tückisch ist das vor allem in Anbetracht der Tatsache, dass solche Hinterlassenschaften im Rahmen einer Reinigung häufig nicht entdeckt und folglich auch nicht entfernt werden.

Die Echtheit der auf einem Windows-System installierten CA-Zertifikate selbst zu überprüfen, ist erstaunlich schwierig. Denn es ist keineswegs damit getan, die Zertifikate mit einem sauberen Referenz-System zu vergleichen, weil Microsoft CAs nach Bedarf dynamisch nachinstalliert. Erst mit Zusatz-Tools wie sigcheck aus der Sysinternals-Suite kann man die aktuell installierten Zertifikate gegen Microsofts offizielles Verzeichnis der registrierten CAs abgleichen.

Siehe dazu auch:

(ju)