Новый метод внедрения вредоносного кода в файлы с цифровой подписью позволяет обойти антивирусную защиту

image

Теги: вредоносное ПО, атака, цифровая подпись

Новая атака может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже.

Исследователь из израильской компании Deep Instinct Том Ниправски (Tom Nipravsky) разработал новый метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Результаты исследования эксперт представил в рамках конференции по безопасности Black Hat.

Разработанный Ниправски метод может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.

Новый метод позволяет спрятать вредоносный код в файл с легитимной цифровой подписью, что имеет довольно важное значение, поскольку наличие подписи, по идее, должно гарантировать подлинность файла.

Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. По словам Ниправски, информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники могут добавлять данные нарушения цифровой подписи.

В ОС Windows реализована технология проверки подлинности программного обеспечения Microsoft Authenticode, однако из-за ошибки в дизайне инструмент проверяет только два значения размера файла (злоумышленник может модифицировать их без нарушения цифровой подписи) в его заголовке, но не третье, неизменяемое значение.

При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, поскольку содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.