дома безопасность Вредоносные программы в файлах с цифровой подписью без нарушения хеширования?

Вредоносные программы в файлах с цифровой подписью без нарушения хеширования?

Команда исследователей безопасности из Deep Instinct обнаружила метод вставки вредоносного ПО в двоичный файл с цифровой подписью, не влияя на общий хэш файла, что почти гарантирует, что антивирусное программное обеспечение и программное обеспечение безопасности не обнаружат вредоносный файл.

Вредоносные программы в файлах с цифровой подписью без нарушения хеширования?

Когда пользователи дважды нажимают на исполняемый файл и запускают, Windows сделай три вещи. Сначала они читают заголовки PE (Portable Executable) файла, затем проверяют сертификат и, наконец, проверяют хэш файла.

после обратный инжиниринг В ходе этого процесса команда Deep Instinct обнаружила, что Windows не включает три уровня PE-заголовков во время процесса проверки, пока хэш-файл не будет проверен, и что изменение этих трех битов не делает сертификат недействительным.

Полями являются контрольная сумма файла, таблица сертификатов атрибутов и поле IMAGE_DIRECTORY_ENTRY_SECURITY из раздела DataDirectory.

В коде проверки концепции, который по понятным причинам не был обнаружен, исследовательская группа ввела вредоносный код в таблицу сертификатов атрибутов, успешно оставив цифровой сертификат и хэш файла без изменений.

Этот метод настолько эффективен, что разработчикам вредоносных программ даже не приходится скрывать свой вредоносный код через упаковщикикодовые обфускаторы). Причина в том, что антивирус и программное обеспечение безопасности автоматически игнорирует любую цифровую подпись файла.

Этот метод, оставляющий хэш файла без изменений, обходит любой другой дополнительный тест программного обеспечения безопасности, который может быть запущен, в дополнение к проверке цифрового сертификата.

Исследователи также упустили из виду проблему невозможности запустить вредоносный код из таблицы сертификата атрибута файла, который находится в цифровом сертификате файла.

«Наличие вредоносного файла на диске без необходимости его распознавания легко, но это не имеет ничего общего с тем, чтобы сделать его интересным», - пояснила исследовательская группа в недавнем сообщении. Black Hat презентация их. «Вот почему мы создали Reflective PE Loader: для запуска PE-файлов прямо из памяти»

Несмотря на свой успех, команда Deep Instinct заявила, что их Reflective PE Loader не поддерживает 64-битные архитектуры, по крайней мере, на данный момент.

Для них авторы вредоносных программ, исследование команды Deep Instinct - это Евангелие программирования вредоносных программ, которое обеспечивает идеальный метод сокрытия вредоносного кода на всеобщее обозрение, прямо внутри цифрового сертификата, части файла, которая предположительно подтверждает происхождение файла и защищает пользователей от вредоносное ПО.

цифровая подпись-файлы-без отключающих-хэш

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

ЖИВЫЕ НОВОСТИ