Danke dir auch für deine Mühen!
Schädlinge unterminieren Windows-Zertifikats-System
-
-
-
Ist ja mein Hobby, Probleme zu lösen. Das mache ich ja auch hauptberuflich auf anderem Gebiet.
Mühe ist das auch in meinem Beruf nicht. Besser kann es gar nicht sein. -
Ich habe das Script hier noch einmal angepasst:
Das Script listet nun auch den kompletten Inhalt der Zertifikatsschlüssel in der Registry und legt ihn in der Datei ppRegistry.txt ab. Man erhält dann (wenn man nach dem Hash sucht) weiteren Einblick da hinein, wann genau das Zertifikat auf dem Rechner abgelegt wurde und welchen Zweck es eventuell erfüllen könnte.
-
Der sicherste Weg zu überprüfen, ob eine Datei aus einer regulären Quelle stammt, ist die Überprüfung der Signatur. Die Signatur ist direkt mit einer Prüfsumme der Datei verbunden, für die sie ausgestellt ist - und damit eigentlich recht Fälschungssicher.
Wir werfen mal über den Windows Explorer einen Blick in die Eigenschaften einer signierten Datei und rufen die Signatur auf.
Es gibt da immer einen Antragsteller für die Signatur...
...und einen Aussteller.
Erst wenn der Aussteller als vertrauenswürdige Zertifizierungsstelle im System hinterlegt ist, ist eine Signatur wirklich gültig.
Es gibt scheinbar zwei Stellen, an denen im System Zertifikate von vertrauenswürdigen Zertifizierungsstellen hinterlegt werden:
Gelingt es Malware, ein Zertifikat an einer dieser beiden Stellen zu hinterlegen, kann die Malware im Prinzip jede Datei mit einem "Link" auf dieses Ausstellerzertifikat in der Signatur unter "Aussteller" gültig für eine Firma signieren, auch wenn die EXE gar nicht von dieser Firma stammt, die unter Antragsteller aufgeführt wird.
Eindeutig identifizierten lässt sich ein Zertifikat an dem Wert Thumbprint, dem Fingerabdruck - das ist im Prinzip eine Prüfsumme, die als Hexadezimale Zahl dargestellt wird.
Mein Lösungsansatz um zu überprüfen, ob ein Zertifikat abgelegt wurde, was Malware signieren könnte, ist jetzt so:
- Ich lese an den zwei Stellen alle Zertifikate aus, die sich dort befinden.
- Ich kürze die Liste (mit Hilfe der Fingerabdrücke der Zertifikate) um die Zertifikate der Firmen, die am Microsoft Trusted Root Certificate Program teilnehmen.
- Übrig bleiben die nicht mehr gültigen Zertifikate und die Zertifikate von Firmen und Leuten, die nicht an diesem Programm teilnehmen. Damit mache ich folgendes:
- Ich schaue unter NotAfter nach, ob dieses Zertifikat überhaupt noch gültig ist. Ist es nicht mehr gültig, kann damit nichts als Aussteller gültig signiert werden und man muss sich um das Zertifikat nicht kümmern.
- Bei dem Rest schaue ich im Netz nach dem Hash und dem genauen Firmennamen, ob ich diese Sachen zweifelsfrei einer Firma zuordnen kann und schaue mir die Daten des Zertifikats näher an, ob diese Hinweise auf den Verwendungszweck liefern.
- Eine Suche in der Registry unter HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates und HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates kann weitere Orte liefern, an denen das Zertifikat abgespeichert wurde und damit weitere Hinweise auf dessen Verwendungszweck liefert (danke an Eisbär).
Sinn der Sache ist ein Abchecken, ob ein System im Zertifikatsbereich unterwandert sein könnte, oder ob es das nicht ist.
-
Für Malware lohnt es sich eventuell auch, bestimmte Zertifikate einfach sperren zu lassen (das könnte sehr einfach über einen Registryeintrag funktionieren).
Ich überlege mir zur Zeit auch noch, dort eine bessere und auswertbarere Methode zum Auslesen gesperrter Zertifikate zu basteln, als die das Tool von Farbar zur Zeit mitbringt. -
Es ist scheinbar so, dass mache Helfer im Antimalwarebereich von Farbar gelistete gesperrte Zertifikate grundsätzlich löschen lassen. Ohne eine Gegenprüfung würde ich das generell unterlassen. Oft werden hier Zertifikate von Antivirenfirmen zur Sperrung eingetragen, und zwar um Malware die Selbstausstellung von vertrauenswürdigen Zertifikaten zu verbieten.
Eine blinde Löschung von Einträgen im Bereich der verbotenen Zertifikate ist extrem gefährlich! Das bitte absolut unterlassen!!!
-
Ich habe mal ein Script für das Tool von farbar entwickelt, mit dem man überprüfen kann, ob man dort gesperrte Zertifikate löschen sollte, oder diese eben nicht löschen darf:
Damit dürfte der Bereich Sicherheitstechnisch erst mal überprüfbar sein.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!