สถิติชี้ Certificate จาก Comodo ถูกใช้ Sign มัลแวร์บน VirusTotal มากที่สุด

4

เครดิต : Bleepingcomputer

Chronicle บริษัทด้าน Cybersecurity บริษัทย่อยของ Alphabet ได้จัดทำรายงานเกี่ยวกับสติถิของตัวอย่างมัลแวร์บน VirusTotal กว่า 3,815 ตัวที่มีการทำ Code Signing ซึ่งพบ Certificate จาก Comodo (ปัจจุบันเปลี่ยนชื่อเป็น Sectigo แล้ว) ถึง 1,775 ใบถูกนำมาใช้อำนวยประโยชน์ให้มัลแวร์เหล่านี้

• Code Signing คือการทำ Cryptographic Hash การยืนยันว่าซอฟต์แวร์นั้นไม่ได้ถูกแก้ไขเปลี่ยนแปลงยกตัวอย่างเช่น Windows หรือ Mac OS จะใช้ตรวจสอบว่าซอฟต์แวร์ไม่ได้ถูกแก้ไขมา โดยภายในของกระบวนการจะมีการใช้งาน Certificate ที่ถูกออกให้จาก Trusted CAs

• สำหรับรายงานจาก Chronicle พบว่าสถิติตัวอย่างมัลแวร์บน VirusTotal จำนวน 3,815 ตัวที่มีการทำ Code Signing และถูกอัปโหลดมาไม่เกิน 1 ปีพบว่ามี Certificate ที่ถูกออกโดย Trusted CA 6 ลำดับแรกคือ Comodo 1,775 ใบ, thawte 509 ใบ, VeriSign 261 ใบ, Sectigo 182 ใบ, Symantec 131 ใบ และ DigiCert 118 ใบ โดยถ้าสังเกตเรื่องของตัวเลขจะพบว่าแต่ละลำดับมีการทิ้งห่างกันหลายเท่าเลยทีเดียว (ตามรูปด้านบน)

• อย่างไรก็ตามทางเดียวที่จะแก้ปัญหาข้างต้นคือการเรียกคืน Certificate ซึ่งก็ดูเหมือนว่าหลังจากที่ Trusted CAs ได้รับการเตือนจากนักวิจัย ทาง Sectigo ก็มีการเรียกคืน Certificate ที่ใช้โดยมัลแวร์กว่า 354 ใบเช่นเดียวกับทาง thawte ได้เรียกคืนมาราว 348 ใบที่หากนับรวมกับทุกเจ้าที่เรียกคืนตอนนี้จะนับได้เป็น 21% ของ Certificate ทั้งหมด นอกจากนี้ Tim Callan จาก Sectigo ได้กล่าวว่า “มีการประชุมทั่วไประหว่าง CA และ Browser Forum เพื่อโหวตจัดตั้งคณะทำงานเฉพาะสำหรับ Code Signing ขึ้นมาเพื่อดูแลจัดการเรื่องการ Signing ของมัลแวร์ นอกจากนี้นักวิจัยผู้พบเห็นการใช้ Certificate ของ Segtigo ในมัลแวร์สามารถแจ้งเรื่องมาได้ที่ signedmalwarealert@sectigo.com“

• ที่มา : https://www.securityweek.com/comodo-issued-most-certificates-signed-malware-virustotal และ
• https://www.bleepingcomputer.com/news/security/volume-of-signed-malware-increases-cas-need-better-vetting/
• ที่มา : https://www.techtalkthai.com