Fałszywe alarmy EDR: triage certyfikatów z Censys

Certyfikaty w formatach takich jak .cer, .crt czy .pem zasadniczo różnią się od klasycznego złośliwego oprogramowania, ponieważ same w sobie nie są wykonywalnym kodem i nie inicjują ukrytych procesów w pamięci systemu. W środowisku Windows pełnią one kluczową rolę w budowie architektury cyfrowego zaufania, odpowiadając za weryfikację tożsamości usług, podpisów cyfrowych oraz szyfrowanej komunikacji.

Jednocześnie cyberprzestępcy coraz częściej wykorzystują skradzione lub sfałszowane certyfikaty do maskowania złośliwego oprogramowania, podpisywania malware’u czy ukrywania komunikacji typu Command & Control (C2). Jednak w przypadku błędnej izolacji legalnego certyfikatu root skutki mogą być wyjątkowo poważne — systemy ochronne zaczynają masowo blokować prawidłowe połączenia oraz zakłócać działanie usług opartych na zaufanym łańcuchu certyfikacji.

W takiej sytuacji przed analitykami bezpieczeństwa pojawia się znacznie bardziej złożone zadanie niż standardowa analiza alertu antywirusowego. Konieczne staje się ustalenie rzeczywistej obecności pliku w środowisku, ocena jego wpływu na procesy weryfikacji certyfikatów oraz identyfikacja źródła jego pojawienia się. Kluczowe jest przy tym unikanie bezkrytycznego polegania wyłącznie na lokalnym werdykcie narzędzi ochronnych i prowadzenie analizy w szerszym kontekście operacyjnym oraz telemetrycznym.

Do szybkiego potwierdzania lub odrzucania alertów niezbędne jest wiarygodne, niezależne źródło weryfikacji — taką rolę pełni platforma Censys.

Firma zapewnia dostęp do jednej z największych baz danych kryptograficznych, obejmującej ponad 15 miliardów wpisów certyfikatów. Zamiast czasochłonnego zbierania informacji z wielu rozproszonych źródeł, zespół SOC otrzymuje uporządkowany i kompletny kontekst: szczegółowo rozłożone pola certyfikatów, weryfikację w głównych repozytoriach zaufania oraz historię Certificate Transparency. Dzięki temu analitycy mogą w ciągu kilku sekund zinterpretować niezrozumiałe hashe i przekształcić chaotyczną analizę incydentu w logiczny, systematyczny proces oparty na wiarygodnych danych.

Podczas majowego incydentu z certyfikatami 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 i DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 baza danych Censys wyraźnie zidentyfikowała je jako legalne DigiCert Assured ID Root CA oraz DigiCert Trusted Root G4.

Proces pracy inżyniera w takich scenariuszach opiera się na ściśle określonej liście kontroli:

• Po pierwsze, określana jest hierarchia pliku — wpisy potwierdziły, że są to właśnie centra certyfikacji root o podpisanej przez siebie charakterystyce.
• Po drugie, weryfikuje się status odwołania w sieci, który był negatywny.
• Po trzecie, system pokazuje status dokumentu na poziomie globalnym: oba identyfikatory niezmiennie uznawano za ważne w kluczowych repozytoriach zaufania Microsoft, Apple, NSS i Chrome.

Najważniejszym etapem pełnego dochodzenia pozostaje potwierdzenie aktywnej obecności certyfikatu w rzeczywistych połączeniach internetowych. W tym celu wykorzystano specjalistyczne zapytania kierowane do infrastruktury Censys, które wykazały obecność około 2100 publicznie dostępnych serwerów wykorzystujących wskazane hashe w swoich łańcuchach certyfikacji TLS. Choć liczba ta nie odzwierciedla całkowitej skali rozpowszechnienia certyfikatów, stanowi jednoznaczny dowód na ich funkcjonowanie w legalnej, transparentnej infrastrukturze internetowej, a nie w środowiskach powiązanych z działalnością cyberprzestępczą.

Tego rodzaju zewnętrzny kontekst analityczny ma kluczowe znaczenie dla zespołów bezpieczeństwa, ponieważ umożliwia szybkie podważenie błędnego werdyktu systemów ochronnych oraz przywrócenie prawidłowego działania infrastruktury korporacyjnej bez ryzyka dalszych zakłóceń operacyjnych.

Krytyczne błędy i fałszywie pozytywne detekcje pozostaną nieuniknionym elementem funkcjonowania nowoczesnych systemów cyberbezpieczeństwa w rozległych środowiskach cyfrowych. Jednak zdolność specjalistów do szybkiej weryfikacji wskaźników technicznych przy użyciu globalnych źródeł analitycznych pozwala skutecznie ograniczać ryzyko paraliżu infrastruktury. Wiarygodny kontekst zewnętrzny nie zastępuje standardowych procedur bezpieczeństwa, ale umożliwia podejmowanie szybkich, precyzyjnych i opartych na danych decyzji operacyjnych.

iIT Distribution, jako dystrybutor rozwiązań z zakresu cyberbezpieczeństwa, zapewnia kompleksowe wsparcie w budowie nowoczesnych architektur ochrony infrastruktury IT. Zespół iITD pomaga partnerom integrować zaawansowane platformy analityczne z codziennymi procesami operacyjnymi, oferując ekspercką wiedzę techniczną, szkolenia dla zespołów bezpieczeństwa oraz pełne wsparcie projektowe — od planowania i wdrożenia po rozwój środowisk bezpieczeństwa na dużą skalę.