研究员隐藏隐蔽的恶意软件在合法的数字签名文件,灰鸽子下载,远程控制软件

admin

研究员隐藏隐蔽的恶意软件在合法的数字签名文件,灰鸽子下载,远程控制软件

该技术，它不打破原来的文件的签名，可以让恶意软件绕过反病毒检测
一种新的技术允许攻击者在数字签名的文件中隐藏恶意代码，而不破坏他们的签名，然后加载到另一个进程的内存中直接加载到内存中。
攻击的方法，经过Tom Nipravsky的发展，与网络安全公司强烈的本能的研究，可能是未来的罪犯和间谍组织的一个有价值的工具，使他们能够得到过去恶意软件杀毒软件和其他安全产品。
Nipravsky研究的第一部分，这是本周在拉斯维加斯的黑帽安全大会上提出，要与文件伪装——数据隐藏在合法文件的实践。
而恶意软件作者已经隐藏的恶意代码或恶意软件配置数据里面的图片在过去，Nipravsky的技术脱颖而出，因为它允许他们与数字签名的文件做同样的事情。这是重要的，因为整个数字签名文件的一个点是保证它来自一个特定的开发人员，并没有改变途中。
如果一个可执行文件被签名，它的签名的信息被存储在它的头中，在一个字段称为属性证书表（行为）被排除在计算文件的哈希-一个独特的字符串，作为其内容的加密表示。
这是有意义的，因为数字证书信息在签名时不是原始文件的一部分。它只在稍后添加，以证明该文件是由它的创造者的意图，并有一定的散列。
然而，这意味着攻击者可以添加数据，包括在行为字段中的另一个完整的文件，而不改变文件哈希和打破签名。这样一个除了将磁盘上的修改总文件大小，包括头文件，这个文件大小是由微软Authenticode技术在验证文件签名。
然而，文件大小是指定在三个不同的位置，在文件头和这些值中的两个可以由攻击者修改，而不破坏签名。问题是，Authenticode检查这两个修改的文件大小的条目不检查第三个。
根据Nipravsky的说法，这是Authenticode的一个设计的逻辑缺陷。
有技术检查第三、不可修改的文件大小值，攻击者就无法拔出这一招并保持文件签名有效，他说。
当修改后的文件本身被执行，因为它是头的一部分，而不是文件体时，添加到该行为的恶意数据不会被加载到内存中。然而，该法案可以作为一个藏身之地，通过一个恶意文件未被发现过去的防病毒防御。
例如，攻击者可以添加他们的恶意代码的许多微软签署的的的的的系统文件或一个微软办公室文件之一。他们的签名仍然是有效的和文件的功能。
此外，最安全的应用程序白名单的这些文件，因为他们是由可信发行商微软避免假阳性检测，可以删除重要文件和系统崩溃，签署。
Nipravsky的研究的第二部分是开发一个隐蔽的方式加载恶意可执行文件隐藏在签署文件而不被发现。他逆向设计的整个背后的窗帘的过程中，当加载到内存中的体育文件的窗口执行。此过程没有公开记录，因为开发人员通常不需要这样做；他们依赖于文件执行的操作系统。
经过四个月的每天工作八小时，但Nipravsky的逆向工程的努力使他创造一个所谓的反射PE装载器：一个应用程序可以加载的可移植可执行文件直接进入系统内存不留痕迹的磁盘上。因为装载程序使用了窗口确实的精确过程，所以安全解决方案来检测它的行为是很困难的，因为它是可疑的。
Nipravsky的装载机可以作为一个隐蔽攻击链的一部分，在下载利用驱动执行恶意软件滴管在记忆。然后，这个过程可以从服务器上下载一个带有恶意代码的数字签名的文件，然后将该代码直接加载到内存中。
研究人员无意释放他的装载机公开，因为其潜在的滥用。然而，熟练的黑客可以创建自己的装载机，如果他们愿意投入同样的努力。
研究人员测试了他的反病毒产品的反射式的体育装载机，并成功地执行恶意软件这些产品将有其他检测。
在演示中，他把一个勒索计划，一个防病毒产品正常检测和阻断，将它添加到一个数字签名的文件的行为，并执行它与反射PE装载器。
防病毒产品检测后，它已经加密的用户所有的文件被勒索赎金的程序创建的文本文件。也就是说，太晚了。
即使攻击者没有Nipravsky的反思性PE装载器，他们仍然可以使用信息隐藏技术来隐藏恶意软件的配置数据在合法的文件或exfiltrate数据被盗的组织。在一个数字签名的文件中隐藏的数据可能会通过网络级的流量检查系统，而不会出现问题。