Symantec giải thích làm sao malware có thể đánh cắp chứng thực số

Normal 0 false false false EN-US X-NONE X-NONE MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:\"Table Normal\"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:\"\"; mso-padding-alt:0mm 5.4pt 0mm 5.4pt; mso-para-margin:0mm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:\"Arial\",\"sans-serif\";}Thời gian trước chúng ta đã từng nghe thấy xuất hiện một số cuộc tấn công của tin tặc đã dùng những chữ kí số được chứng thực hợp lệ để bảo đảo chúng không bị phát hiện trong khi lây nhiễm . Symantec đã phân tích làm thế nào để tin tặc có thể đánh cắp được những khóa chứng thực để dùng trong malware.Các chuyên gia giải thích việc đánh cắp những chứng thực số hợp lệ bằng tay là điều gần như không thể nhưng lại có thể dùng  malware để dễ dàng lấy dữ liệu có giá trị này từ những hệ thống  bị lây nhiễm .Hầu hết những malware có nhiệm vụ này bao gồm Backdoor.Beasty, Infostealer.Snifula, Downloader.Parshell, Trojan.Spyeye, W32.Cridex, W32.Qakbot, Infostealer.Shiz, Trojan.Carberp và Trojan.Zbot (hay còn có tên là ZeuS).Hầu hết những thành phần của malware trên được lấy ra từ những máy tính tại Mỹ .Làm thế nào để malware có thể lấy được những chứng thực số hợp lệ ?Thông thường những chứng thực số được lưu giữ trong “kho” chức thực của Windows . từ đây , chúng có thể được lấy ra bằng cách sử dụng những hàm như PFXExportCertStoreEx . Để ra lệnh kết xuất khóa phải dùng  hàm với những sư lựa chọn EXPORT_PRIVATE_KEYS .Hàm này kết xuất thông tin thành file .PFX thường được tin tặc mã hóa .Hầu hết những malware bắt đầu đánh cắp những chứng thực số ngay khi máy tính khởi động nhưng lại có một số chờ tin tặc ra lệnh .Ngay khi có được những khóa chứng thực hợp lệ , tin tặc có thể dùng nó làm chữ kí trong phần mềm độc hại của mình .Để tranh mất những khóa chứng thức riêng , các tổ chức nên giữ nó trong mạng biệt lập với hệ thống  Internet và không nên lưu trữ trong máy tính . Chúng nên được cất giữ trong những thẻ IC , USB Token và những module khóa cứng hoặc ít nhất phải cần có khóa mạnh để bảo vệ . Sự phân bố của malware đánh cắp chứng thực trên thế giới