久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 研究員隱藏隱蔽的惡意軟件在合法的數(shù)字簽名文件,灰鴿子下載,遠(yuǎn)程控制軟件 [打印本頁(yè)]
作者: admin    時(shí)間: 2016-8-6 13:04
標(biāo)題: 研究員隱藏隱蔽的惡意軟件在合法的數(shù)字簽名文件,灰鴿子下載,遠(yuǎn)程控制軟件
研究員隱藏隱蔽的惡意軟件在合法的數(shù)字簽名文件,灰鴿子下載,遠(yuǎn)程控制軟件

該技術(shù),它不打破原來(lái)的文件的簽名,可以讓惡意軟件繞過(guò)反病毒檢測(cè)
一種新的技術(shù)允許攻擊者在數(shù)字簽名的文件中隱藏惡意代碼,而不破壞他們的簽名,然后加載到另一個(gè)進(jìn)程的內(nèi)存中直接加載到內(nèi)存中。
攻擊的方法,經(jīng)過(guò)Tom Nipravsky的發(fā)展,與網(wǎng)絡(luò)安全公司強(qiáng)烈的本能的研究,可能是未來(lái)的罪犯和間諜組織的一個(gè)有價(jià)值的工具,使他們能夠得到過(guò)去惡意軟件殺毒軟件和其他安全產(chǎn)品。
Nipravsky研究的第一部分,這是本周在拉斯維加斯的黑帽安全大會(huì)上提出,要與文件偽裝——數(shù)據(jù)隱藏在合法文件的實(shí)踐。
而惡意軟件作者已經(jīng)隱藏的惡意代碼或惡意軟件配置數(shù)據(jù)里面的圖片在過(guò)去,Nipravsky的技術(shù)脫穎而出,因?yàn)樗试S他們與數(shù)字簽名的文件做同樣的事情。這是重要的,因?yàn)檎麄(gè)數(shù)字簽名文件的一個(gè)點(diǎn)是保證它來(lái)自一個(gè)特定的開發(fā)人員,并沒(méi)有改變途中。
如果一個(gè)可執(zhí)行文件被簽名,它的簽名的信息被存儲(chǔ)在它的頭中,在一個(gè)字段稱為屬性證書表(行為)被排除在計(jì)算文件的哈希-一個(gè)獨(dú)特的字符串,作為其內(nèi)容的加密表示。
這是有意義的,因?yàn)閿?shù)字證書信息在簽名時(shí)不是原始文件的一部分。它只在稍后添加,以證明該文件是由它的創(chuàng)造者的意圖,并有一定的散列。
然而,這意味著攻擊者可以添加數(shù)據(jù),包括在行為字段中的另一個(gè)完整的文件,而不改變文件哈希和打破簽名。這樣一個(gè)除了將磁盤上的修改總文件大小,包括頭文件,這個(gè)文件大小是由微軟Authenticode技術(shù)在驗(yàn)證文件簽名。
然而,文件大小是指定在三個(gè)不同的位置,在文件頭和這些值中的兩個(gè)可以由攻擊者修改,而不破壞簽名。問(wèn)題是,Authenticode檢查這兩個(gè)修改的文件大小的條目不檢查第三個(gè)。
根據(jù)Nipravsky的說(shuō)法,這是Authenticode的一個(gè)設(shè)計(jì)的邏輯缺陷。
有技術(shù)檢查第三、不可修改的文件大小值,攻擊者就無(wú)法拔出這一招并保持文件簽名有效,他說(shuō)。
當(dāng)修改后的文件本身被執(zhí)行,因?yàn)樗穷^的一部分,而不是文件體時(shí),添加到該行為的惡意數(shù)據(jù)不會(huì)被加載到內(nèi)存中。然而,該法案可以作為一個(gè)藏身之地,通過(guò)一個(gè)惡意文件未被發(fā)現(xiàn)過(guò)去的防病毒防御。
例如,攻擊者可以添加他們的惡意代碼的許多微軟簽署的的的的的系統(tǒng)文件或一個(gè)微軟辦公室文件之一。他們的簽名仍然是有效的和文件的功能。
此外,最安全的應(yīng)用程序白名單的這些文件,因?yàn)樗麄兪怯煽尚虐l(fā)行商微軟避免假陽(yáng)性檢測(cè),可以刪除重要文件和系統(tǒng)崩潰,簽署。
Nipravsky的研究的第二部分是開發(fā)一個(gè)隱蔽的方式加載惡意可執(zhí)行文件隱藏在簽署文件而不被發(fā)現(xiàn)。他逆向設(shè)計(jì)的整個(gè)背后的窗簾的過(guò)程中,當(dāng)加載到內(nèi)存中的體育文件的窗口執(zhí)行。此過(guò)程沒(méi)有公開記錄,因?yàn)殚_發(fā)人員通常不需要這樣做;他們依賴于文件執(zhí)行的操作系統(tǒng)。
經(jīng)過(guò)四個(gè)月的每天工作八小時(shí),但Nipravsky的逆向工程的努力使他創(chuàng)造一個(gè)所謂的反射PE裝載器:一個(gè)應(yīng)用程序可以加載的可移植可執(zhí)行文件直接進(jìn)入系統(tǒng)內(nèi)存不留痕跡的磁盤上。因?yàn)檠b載程序使用了窗口確實(shí)的精確過(guò)程,所以安全解決方案來(lái)檢測(cè)它的行為是很困難的,因?yàn)樗强梢傻摹?br /> Nipravsky的裝載機(jī)可以作為一個(gè)隱蔽攻擊鏈的一部分,在下載利用驅(qū)動(dòng)執(zhí)行惡意軟件滴管在記憶。然后,這個(gè)過(guò)程可以從服務(wù)器上下載一個(gè)帶有惡意代碼的數(shù)字簽名的文件,然后將該代碼直接加載到內(nèi)存中。
研究人員無(wú)意釋放他的裝載機(jī)公開,因?yàn)槠錆撛诘臑E用。然而,熟練的黑客可以創(chuàng)建自己的裝載機(jī),如果他們?cè)敢馔度胪瑯拥呐Α?br /> 研究人員測(cè)試了他的反病毒產(chǎn)品的反射式的體育裝載機(jī),并成功地執(zhí)行惡意軟件這些產(chǎn)品將有其他檢測(cè)。
在演示中,他把一個(gè)勒索計(jì)劃,一個(gè)防病毒產(chǎn)品正常檢測(cè)和阻斷,將它添加到一個(gè)數(shù)字簽名的文件的行為,并執(zhí)行它與反射PE裝載器。
防病毒產(chǎn)品檢測(cè)后,它已經(jīng)加密的用戶所有的文件被勒索贖金的程序創(chuàng)建的文本文件。也就是說(shuō),太晚了。
即使攻擊者沒(méi)有Nipravsky的反思性PE裝載器,他們?nèi)匀豢梢允褂眯畔㈦[藏技術(shù)來(lái)隱藏惡意軟件的配置數(shù)據(jù)在合法的文件或exfiltrate數(shù)據(jù)被盜的組織。在一個(gè)數(shù)字簽名的文件中隱藏的數(shù)據(jù)可能會(huì)通過(guò)網(wǎng)絡(luò)級(jí)的流量檢查系統(tǒng),而不會(huì)出現(xiàn)問(wèn)題。



歡迎光臨 灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/) Powered by Discuz! X3.4