El último ataque contra Windows (con enlaces
directos) fue descubierto a través de un troyano que ha sido bautizado
como Stuxnet. Una de sus características era que los drivers que usaba
estaban firmados digitalmente por la famosa empresa china Realtek.
Ahora, después de que hayan sido revocados, los atacantes han comenzado a
utilizar los de otra empresa legítima: JMicron Technology Corporation.
Los
drivers de Stuxnet utilizados como rootkit, estaban firmados
digitalmente por la famosa empresa china Realtek. Esto significa que, en
principio, solo Realtek puede ser responsable de ese código... excepto
que su clave privada haya sido comprometida de alguna forma, cosa que no
se ha confirmado todavía. En cualquier caso, Microsoft ha trabajado con
Verisign para revocar en sus sistemas los certificados (con el apoyo de
Realtek también). Parece que ante este "contratiempo" los atacantes han
reaccionado firmando su troyano de nuevo con un certificado válido de
otra empresa Taiwanesa dedicada también a crear controladores, llamada
JMicron.
Según ha notado Pierre-Marc Bureau de ESET, la única
relación entre esas dos compañías es que comparten oficinas en Hsinchu
Science Park, Taiwan. Esto abre las puertas a todo tipo de suposiciones:
un atacante ha podido introducirse físicamente en el edificio y
aprovechar algún error gracias a la ingeniería social... o se ha
realizado un ataque dirigido a ambas compañías... o simplemente han
comprado los certificados robados a un tercero... o quizás ninguna de
estas hipótesis y compartir oficinas es solo una coincidencia.
Microsoft,
para comprobar la firma de binarios, utiliza Authenticode. Los ficheros
pueden estar firmados digitalmente con la clave privada del fabricante o
programador (Microsoft los llama "editores" en Windows). De esta forma,
gracias a la criptografía asimétrica, podemos saber que el código viene
de quien dice venir, y que teóricamente no ha sido alterado por nadie
sin su permiso. Windows presenta este tipo de avisos antes de lanzar un
ejecutable y sirven como "control de calidad" de drivers. Nos advierten
básicamente de que el binario está firmado por el fabricante de turno, y
pregunta qué queremos hacer. En el diálogo, nos indica que:
"Aunque
los archivos procedentes de Internet pueden llegar a ser útiles, este
tipo de archivo puede llegar a dañar el equipo. Solo ejecute software de
los editores en los que confía"
Y efectivamente, esa es la
situación ideal: ejecutar código solo de quien se confía. Aunque no
siempre es cierto, como es el caso, si al editor confiable le han robado
el certificado y usurpado la identidad.
¿De cuántos más
certificados válidos dispondrán estos atacantes? Un curioso caso que nos
da una idea de hasta dónde llega el malware profesional.
Más Información:
Win32/Stuxnet Signed Binaries
http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries
Autor: Sergio de los Santos
Fuente: Hispasec
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!