สถิติชี้ Certificate จาก Comodo ถูกใช้ Sign มัลแวร์บน VirusTotal มากที่สุด

Chronicle บริษัทด้าน Cybersecurity บริษัทย่อยของ Alphabet ได้จัดทำรายงานเกี่ยวกับสติถิของตัวอย่างมัลแวร์บน VirusTotal กว่า 3,815 ตัวที่มีการทำ Code Signing ซึ่งพบ Certificate จาก Comodo (ปัจจุบันเปลี่ยนชื่อเป็น Sectigo แล้ว) ถึง 1,775 ใบถูกนำมาใช้อำนวยประโยชน์ให้มัลแวร์เหล่านี้

Code Signing คือการทำ Cryptographic Hash การยืนยันว่าซอฟต์แวร์นั้นไม่ได้ถูกแก้ไขเปลี่ยนแปลงยกตัวอย่างเช่น Windows หรือ Mac OS จะใช้ตรวจสอบว่าซอฟต์แวร์ไม่ได้ถูกแก้ไขมา โดยภายในของกระบวนการจะมีการใช้งาน Certificate ที่ถูกออกให้จาก Trusted CAs

สำหรับรายงานจาก Chronicle พบว่าสถิติตัวอย่างมัลแวร์บน VirusTotal จำนวน 3,815 ตัวที่มีการทำ Code Signing และถูกอัปโหลดมาไม่เกิน 1 ปีพบว่ามี Certificate ที่ถูกออกโดย Trusted CA 6 ลำดับแรกคือ Comodo 1,775 ใบ, thawte 509 ใบ, VeriSign 261 ใบ, Sectigo 182 ใบ, Symantec 131 ใบ และ DigiCert 118 ใบ โดยถ้าสังเกตเรื่องของตัวเลขจะพบว่าแต่ละลำดับมีการทิ้งห่างกันหลายเท่าเลยทีเดียว (ตามรูปด้านบน)

อย่างไรก็ตามทางเดียวที่จะแก้ปัญหาข้างต้นคือการเรียกคืน Certificate ซึ่งก็ดูเหมือนว่าหลังจากที่ Trusted CAs ได้รับการเตือนจากนักวิจัย ทาง Sectigo ก็มีการเรียกคืน Certificate ที่ใช้โดยมัลแวร์กว่า 354 ใบเช่นเดียวกับทาง thawte ได้เรียกคืนมาราว 348 ใบที่หากนับรวมกับทุกเจ้าที่เรียกคืนตอนนี้จะนับได้เป็น 21% ของ Certificate ทั้งหมด นอกจากนี้ Tim Callan จาก Sectigo ได้กล่าวว่า “มีการประชุมทั่วไประหว่าง CA และ Browser Forum เพื่อโหวตจัดตั้งคณะทำงานเฉพาะสำหรับ Code Signing ขึ้นมาเพื่อดูแลจัดการเรื่องการ Signing ของมัลแวร์ นอกจากนี้นักวิจัยผู้พบเห็นการใช้ Certificate ของ Segtigo ในมัลแวร์สามารถแจ้งเรื่องมาได้ที่ signedmalwarealert@sectigo.com“

ที่มา :  https://www.securityweek.com/comodo-issued-most-certificates-signed-malware-virustotal และ  https://www.bleepingcomputer.com/news/security/volume-of-signed-malware-increases-cas-need-better-vetting/