A kutató titkos digitális kártyákat rejteget a digitális aláírással ellátott fájlokon belül

Egy új technika lehetővé teszi a támadók számára, hogy a digitálisan aláírt fájlokon belül elrejtsék a rosszindulatú kódokat, anélkül, hogy aláírnák az aláírásaikat, majd ezt a kódot közvetlenül egy másik folyamat memóriájába töltenék be. támadó módszer, amelyet Tom Nipravsky, a Deep Instinct kiberbiztonsági cég kutatója fejlesztett ki, a jövőben értékes eszköznek bizonyulhat a bűnözők és a kémjelző csoportok számára, lehetővé téve számukra, hogy rosszindulatú programokat kapjanak a víruskeresők és más biztonsági termékek előtt.

Az első Nipravsky kutatásának egy része, amelyet a Las Vegas-i Black Hat biztonsági konferencián mutattunk be ezen a héten, a steganográfiával foglalkozik - a p

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépéről]

Míg a rosszindulatú szerzők elrejtették a rosszindulatú kódokat vagy rosszindulatú szoftverek konfigurációs adatait a múltban, Nipravsky technikája kiemelkedik, mert lehetővé teszi számukra, hogy ugyanezt tegyék digitálisan aláírt fájlokkal. Ez azért fontos, mert a fájl digitális aláírásának teljes pontja garantálja, hogy egy adott fejlesztő származik, és nem változott meg az útvonalon.

Ha egy végrehajtható fájl aláírásra kerül, az aláírással kapcsolatos információkat a fejlécében tárolja, egy olyan mező belsejében, amelyet a tanúsítványtáblázat (ACT) nevű attribútumnak nevezünk, amely kizárható a fájl hash kiszámításánál - egy egyedi karakterlánc, amely a tartalom titkosítási ábrázolásaként szolgál.

Ennek az az oka, hogy a digitális tanúsítványinformáció nem része az eredeti fájl aláírásának idején. Ezt csak akkor adják hozzá, ha később igazolják, hogy a fájl az alkotó szándéka szerint van konfigurálva, és van egy bizonyos hash.

Ez azonban azt jelenti, hogy a támadók adatot adhatnak, beleértve egy másik teljes fájlt az ACT mező belsejében, az aláírás megtörése. Ez a kiegészítés módosítja a lemezen található teljes fájlméretet, amely magában foglalja a fejléc mezőket, és ezt a fájlméretet a Microsoft Authenticode technológia ellenőrzi, amikor aláírja a fájlt.

A fájlméretet azonban három különböző helyen kell megadni: fájl fejlécét, és két ilyen értéket egy támadó módosíthat az aláírás megszakítása nélkül. A probléma az, hogy a Authenticode ellenőrzi a két módosítható fájlméret-bejegyzéseket, és nem ellenőrzi a harmadikat.

Nipravsky szerint ez egy logikai hiba a Authenticode-ban. Ha a technológia ellenőrizte a harmadik, nem módosítható fájlméret-értéket, akkor a támadók nem tudják kihúzni ezt a trükköt, és továbbra is érvényesek a fájl aláírására.

Az ACT-hez hozzáadott rosszindulatú adatok nem töltődnek be a memóriába, amikor maga a módosított fájl is végrehajtásra kerül, mert része a fejlécnek és nem a fájltömbnek. Az ACT azonban rejtekhelyként szolgálhat a rosszindulatú fájl észrevétlenül múltbeli vírusvédelmi védelmeinek átadásához.

Például a támadók rosszindulatú kódot adhatnak hozzá a Microsoft által aláírt Windows rendszerfájlok egyikéhez vagy egy Microsoft Office-fájlhoz. Aláírásaik továbbra is érvényesek és a fájlok működnek.

Továbbá a legtöbb biztonsági alkalmazás engedélyezi ezeket a fájlokat, mert a megbízható Microsoft kiadó aláírta azokat a hamis pozitív észlelések elkerülése érdekében, amelyek törölhetik a kritikus fájlokat és összeomolhatják a rendszert. Nipravsky kutatásának második része az volt, hogy olyan lopakodó módszert dolgozott ki, amely az aláírt fájlokba rejtett, rosszindulatú futtatható fájlokat nem észleli. Megfordította az egész mögötti függönyfolyamatot, amelyet a Windows a PE fájlok memóriába való betöltésekor végez. Ezt az eljárást nem nyilvánosan dokumentálják, mert a fejlesztőknek ezt általában nem kell elvégezniük; az operációs rendszerre támaszkodnak a fájlok végrehajtásához.

Négyhónapos nyolc órás munkát igényelt, de a Nipravsky visszafele mentén végzett munkája lehetővé tette számára egy úgynevezett fényvisszaverő PE betöltő létrehozását: olyan alkalmazást, amely a hordozható végrehajtható fájlokat közvetlenül a rendszer memóriájába betöltheti anélkül, hogy nyomokat hagyna a lemezen. Mivel a betöltő a Windows által alkalmazott pontos folyamatot használja, a biztonsági megoldások számára nehéz a gyanús viselkedését felismerni.

A Nipravsky betöltője egy titkos támadó lánc részeként használható, ahol egy meghajtó-letöltési exploit végrehajt egy rosszindulatú programot emlékül. A folyamat ekkor egy digitálisan aláírt fájlt tölt le a rosszindulatú kóddal az ACT-jéről egy kiszolgálóról, majd betölti a kódot közvetlenül a memóriába.

A kutatónak nem áll szándékában nyilvánosságra hozni a betöltőt, mert potenciálisan visszaél. A szakképzett hackerek azonban saját rakodójukat is létrehozhatnák, ha hajlandóak ugyanazt az erőfeszítést tenni.

A kutató tesztelte a fényvisszaverő PE betöltőt a vírusirtó termékek ellen, és sikerült végrehajtania a rosszindulatú programokat, amelyekkel a termékeket egyébként észlelték volna. egy demó, egy víruskeresõ programot vett fel, amelyet normálisan észleltek és blokkoltak, hozzáadták a digitálisan aláírt fájl ACT-jéhez, és végrehajtották a tükrözõ PE betöltõvel.

A víruskereső termék csak a felszabadított szöveges fájlt észlelte a ransomware program után, miután már titkosította az összes felhasználói fájlt. Más szóval, túl késő.

Még ha a támadóknak nincs Nipravsky fényvisszaverő PE-betöltője, még mindig használhatják a steganográfiás technikát, hogy elrejtsék a rosszindulatú szoftverek konfigurációs adatait a legitim fájlok között, vagy akár a szervezetektől ellopott adatok kiszűrésére. A digitálisan aláírt fájlban rejtett adatok valószínűleg problémamentesen áthalthatják a hálózati szintű forgalomellenőrzési rendszereket.