Mobilné Správy, Gadgety, Blogy's Secenziami

Google varuje pred novým spôsobom, akým môžu hackeri spôsobiť, že bude škodlivý softvér nezistiteľný Windows

Malware Nedetekovateľný na Windows

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú techniku ​​prijatú aktérmi hrozby na úmyselné vyhýbanie sa detekcii pomocou chybne tvarovaných digitálnych podpisov jej užitočného zaťaženia škodlivým softvérom.

„Útočníci vytvorili chybné podpisy kódu, s ktorými sa zaobchádza ako s platnými Windows ale nie je možné ich dekódovať alebo kontrolovať pomocou kódu OpenSSL-ktorý sa používa v mnohých produktoch na skenovanie zabezpečenia, “uviedol Neel Mehta zo skupiny Google Threat Analysis Group v dokumente zverejnenom vo štvrtok.

Pozorovalo sa, že nový mechanizmus využíva známa rodina nechceného softvéru známa ako OpenSUpdater, ktorá sa používa na sťahovanie a inštaláciu ďalších podozrivých programov do ohrozených systémov. Väčšina cieľov kampane sú používatelia nachádzajúci sa v USA, ktorí sú náchylní na sťahovanie popraskaných verzií hier a iného softvéru v šedej oblasti.

Zistenia pochádzajú zo sady vzoriek OpenSUpdater nahraných do VirusTotal najmenej od polovice augusta.

Malware Nedetekovateľný na Windows

Artefakty sú nielen podpísané neplatným certifikátom list X.509, ktorý je upravovaný tak, že prvok „parametre“ poľa SignatureAlgorithm obsahoval namiesto značky NULL značku End-of-Content (EOC). Aj keď sú tieto kódovania odmietnuté ako neplatné vedľajšie produkty používajúce OpenSSL na získavanie informácií o podpise, kontroluje sa Windows systémy by umožnili spustenie súboru bez akýchkoľvek bezpečnostných upozornení.

Zabráňte úniku údajov

„Toto je prvýkrát, čo TAG pozoruje hercov používajúcich túto techniku ​​na obídenie detekcie pri zachovaní platného digitálneho podpisu na súboroch PE,“ povedal Mehta.

„Podpisy kódov sú zapnuté Windows spustiteľné súbory poskytujú záruky integrity integrovaného podpísaného spustiteľného súboru a tiež informácie o identite podpisujúceho. Útočníci, ktorí sú schopní skryť svoju identitu v podpisoch bez toho, aby to ovplyvnilo integritu podpisu, sa môžu vyhnúť detekcii dlhšie a predĺžiť životnosť svojich certifikátov na podpisovanie kódu, aby infikovali viac systémov. “