Новый метод внедрения вредоносного кода в файлы с цифровой подписью позволяет обойти антивирусную защиту

Исследователь из израильской компании Deep Instinct Том Ниправски (Tom Nipravsky) разработал новый метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Результаты исследования эксперт представил в рамках конференции по безопасности Black Hat.

Разработанный Ниправски метод может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.

Новый метод позволяет спрятать вредоносный код в файл с легитимной цифровой подписью, что имеет довольно важное значение, поскольку наличие подписи, по идее, должно гарантировать подлинность файла.

Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. По словам Ниправски, информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники могут добавлять данные нарушения цифровой подписи.

В ОС Windows реализована технология проверки подлинности программного обеспечения Microsoft Authenticode, однако из-за ошибки в дизайне инструмент проверяет только два значения размера файла (злоумышленник может модифицировать их без нарушения цифровой подписи) в его заголовке, но не третье, неизменяемое значение.

При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, поскольку содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s