T1587.002: Сертификаты подписи кода

Злоумышленники могут создавать самоподписанные сертификаты подписи кода, чтобы использовать их для атак. Подпись кода — это процесс цифрового подписывания исполняемых файлов и сценариев с целью подтвердить их авторство и гарантировать, что код не был изменен или поврежден. Подписывание кода разработчиком является одним из уровней подтверждения подлинности программы и гарантирует, что программа не подвергалась изменениям. Пользователи и (или) средства безопасности могут доверять подписанному коду больше, чем неподписанному, даже если не знают, кем выдан сертификат или кто его автор.

Для подписи исполняемого кода злоумышленники могут создать самоподписанные сертификаты.

Способы обнаружения

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Метаданные вредоносного ПООписание

По возможности анализируйте самоподписанные сертификаты, используемые для подписывания кода, на наличие в них особенностей, которые могут быть связаны со злоумышленником и (или) разработчиками, таких как отпечаток сертификата, используемый алгоритм, срок действия и общее имя. Кроме того, можно использовать репозитории вредоносного ПО для выявления дополнительных образцов, связанных со злоумышленником, и поиска шаблонов, которые он использовал при создании самоподписанных сертификатов для подписывания кода. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на последующих действиях, таких как подпись исполняемого кода или установка корневого сертификата.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля.