miércoles, 21 de julio de 2010

La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido

El último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation.

Los drivers de Stuxnet utilizados como rootkit, estaban firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Parece que ante este "contratiempo" los atacantes han reaccionado firmando su troyano de nuevo con un certificado válido de otra empresa Taiwanesa dedicada también a crear controladores, llamada JMicron.

Según ha notado Pierre-Marc Bureau de ESET, la única relación entre esas dos compañías es que comparten oficinas en Hsinchu Science Park, Taiwan. Esto abre las puertas a todo tipo de suposiciones: un atacante ha podido introducirse físicamente en el edificio y aprovechar algún error gracias a la ingeniería social... o se ha realizado un ataque dirigido a ambas compañías... o simplemente han comprado los certificados robados a un tercero... o quizás ninguna de estas hipótesis y compartir oficinas es solo una coincidencia.

Microsoft, para comprobar la firma de binarios, utiliza Authenticode. Los ficheros pueden estar firmados digitalmente con la clave privada del fabricante o programador (Microsoft los llama "editores" en Windows). De esta forma, gracias a la criptografía asimétrica, podemos saber que el código viene de quien dice venir, y que teóricamente no ha sido alterado por nadie sin su permiso. Windows presenta este tipo de avisos antes de lanzar un ejecutable y sirven como "control de calidad" de drivers. Nos advierten básicamente de que el binario está firmado por el fabricante de turno, y pregunta qué queremos hacer. En el diálogo, nos indica que:

"Aunque los archivos procedentes de Internet pueden llegar a ser útiles, este tipo de archivo puede llegar a dañar el equipo. Solo ejecute software de los editores en los que confía"

Y efectivamente, esa es la situación ideal: ejecutar código solo de quien se confía. Aunque no siempre es cierto, como es el caso, si al editor confiable le han robado el certificado y usurpado la identidad.

¿De cuántos más certificados válidos dispondrán estos atacantes? Un curioso caso que nos da una idea de hasta dónde llega el malware profesional.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Win32/Stuxnet Signed Binaries
http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries

No hay comentarios:

Publicar un comentario en la entrada