Google varuje pred novým spôsobom, akým môžu hackeri urobiť malvér nezistiteľným Windows

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú techniku, ktorú si osvojil aktér hrozby, aby sa zámerne vyhýbal detekcii pomocou zdeformovaných digitálnych podpisov jeho obsahu škodlivého softvéru.

„Útočníci vytvorili chybné podpisy kódu, ktoré považuje za platné Windows ale nie je možné ich dekódovať ani skontrolovať pomocou kódu OpenSSL, ktorý sa používa v mnohých produktoch bezpečnostného skenovania,“ uviedol vo štvrtok Neel Mehta zo skupiny Google Threat Analysis Group.

Zistilo sa, že nový mechanizmus využíva notoricky známa rodina nežiaduceho softvéru známeho ako OpenSUpdater, ktorý sa používa na sťahovanie a inštaláciu ďalších podozrivých programov na kompromitovaných systémoch. Väčšina cieľov kampane sú používatelia nachádzajúci sa v USA, ktorí sú náchylní na sťahovanie cracknutých verzií hier a iného softvéru so šedou oblasťou.

Zistenia pochádzajú zo súboru vzoriek OpenSUpdater nahraných do VirusTotal najmenej od polovice augusta.

Zatiaľ čo sa protivníci v minulosti spoliehali na nelegálne získané digitálne certifikáty, aby prepašovali adware a iný nežiaduci softvér cez nástroje na detekciu škodlivého softvéru alebo vložili útočný kód do digitálne podpísaných dôveryhodných softvérových komponentov otravou dodávateľského reťazca softvéru, OpenSUpdater vyniká svojim zámerným používaním. chybného podpisu prekĺznuť cez obranu.

Artefakty sú podpísané neplatným listovým certifikátom X.509, ktorý je upravený tak, že prvok ‘parameters’ v poli SignatureAlgorithm obsahoval značku konca obsahu (EOC) namiesto značky NULL. Aj keď produkty používajúce OpenSSL na získanie informácií o podpise odmietnu takéto kódovania ako neplatné, kontroluje sa Windows systémy by umožnili spustenie súboru bez akýchkoľvek bezpečnostných upozornení.

“Je to prvýkrát, čo TAG pozoroval aktérov, ktorí používajú túto techniku, aby sa vyhli detekcii a zároveň zachovali platný digitálny podpis na súboroch PE,” povedal Mehta.

„Podpisy kódu zapnuté Windows spustiteľné súbory poskytujú záruky o integrite podpísaného spustiteľného súboru, ako aj informácie o identite podpisovateľa. Útočníci, ktorí sú schopní zakryť svoju identitu v podpisoch bez toho, aby to ovplyvnilo integritu podpisu, sa môžu vyhnúť detekcii dlhšie a predĺžiť životnosť svojich certifikátov na podpisovanie kódu, aby infikovali viac systémov.”