|
|
研究員隱藏隱蔽的惡意軟件在合法的數(shù)字簽名文件,灰鴿子下載,遠程控制軟件
![]()
該技術(shù),它不打破原來的文件的簽名���,可以讓惡意軟件繞過反病毒檢測
一種新的技術(shù)允許攻擊者在數(shù)字簽名的文件中隱藏惡意代碼��,而不破壞他們的簽名��,然后加載到另一個進程的內(nèi)存中直接加載到內(nèi)存中��。
攻擊的方法���,經(jīng)過Tom Nipravsky的發(fā)展,與網(wǎng)絡(luò)安全公司強烈的本能的研究��,可能是未來的罪犯和間諜組織的一個有價值的工具�����,使他們能夠得到過去惡意軟件殺毒軟件和其他安全產(chǎn)品��。
Nipravsky研究的第一部分���,這是本周在拉斯維加斯的黑帽安全大會上提出��,要與文件偽裝——數(shù)據(jù)隱藏在合法文件的實踐��。
而惡意軟件作者已經(jīng)隱藏的惡意代碼或惡意軟件配置數(shù)據(jù)里面的圖片在過去��,Nipravsky的技術(shù)脫穎而出��,因為它允許他們與數(shù)字簽名的文件做同樣的事情���。這是重要的�����,因為整個數(shù)字簽名文件的一個點是保證它來自一個特定的開發(fā)人員���,并沒有改變途中。
如果一個可執(zhí)行文件被簽名��,它的簽名的信息被存儲在它的頭中���,在一個字段稱為屬性證書表(行為)被排除在計算文件的哈希-一個獨特的字符串���,作為其內(nèi)容的加密表示。
這是有意義的�����,因為數(shù)字證書信息在簽名時不是原始文件的一部分��。它只在稍后添加,以證明該文件是由它的創(chuàng)造者的意圖���,并有一定的散列。
然而��,這意味著攻擊者可以添加數(shù)據(jù)��,包括在行為字段中的另一個完整的文件��,而不改變文件哈希和打破簽名���。這樣一個除了將磁盤上的修改總文件大小��,包括頭文件��,這個文件大小是由微軟Authenticode技術(shù)在驗證文件簽名��。
然而��,文件大小是指定在三個不同的位置���,在文件頭和這些值中的兩個可以由攻擊者修改,而不破壞簽名���。問題是���,Authenticode檢查這兩個修改的文件大小的條目不檢查第三個���。
根據(jù)Nipravsky的說法,這是Authenticode的一個設(shè)計的邏輯缺陷�����。
有技術(shù)檢查第三�����、不可修改的文件大小值���,攻擊者就無法拔出這一招并保持文件簽名有效��,他說���。
當修改后的文件本身被執(zhí)行,因為它是頭的一部分���,而不是文件體時���,添加到該行為的惡意數(shù)據(jù)不會被加載到內(nèi)存中��。然而�����,該法案可以作為一個藏身之地,通過一個惡意文件未被發(fā)現(xiàn)過去的防病毒防御�����。
例如���,攻擊者可以添加他們的惡意代碼的許多微軟簽署的的的的的系統(tǒng)文件或一個微軟辦公室文件之一���。他們的簽名仍然是有效的和文件的功能。
此外�����,最安全的應(yīng)用程序白名單的這些文件��,因為他們是由可信發(fā)行商微軟避免假陽性檢測���,可以刪除重要文件和系統(tǒng)崩潰�����,簽署��。
Nipravsky的研究的第二部分是開發(fā)一個隱蔽的方式加載惡意可執(zhí)行文件隱藏在簽署文件而不被發(fā)現(xiàn)�����。他逆向設(shè)計的整個背后的窗簾的過程中��,當加載到內(nèi)存中的體育文件的窗口執(zhí)行�����。此過程沒有公開記錄�����,因為開發(fā)人員通常不需要這樣做��;他們依賴于文件執(zhí)行的操作系統(tǒng)�����。
經(jīng)過四個月的每天工作八小時,但Nipravsky的逆向工程的努力使他創(chuàng)造一個所謂的反射PE裝載器:一個應(yīng)用程序可以加載的可移植可執(zhí)行文件直接進入系統(tǒng)內(nèi)存不留痕跡的磁盤上���。因為裝載程序使用了窗口確實的精確過程�����,所以安全解決方案來檢測它的行為是很困難的���,因為它是可疑的。
Nipravsky的裝載機可以作為一個隱蔽攻擊鏈的一部分��,在下載利用驅(qū)動執(zhí)行惡意軟件滴管在記憶�����。然后��,這個過程可以從服務(wù)器上下載一個帶有惡意代碼的數(shù)字簽名的文件�����,然后將該代碼直接加載到內(nèi)存中���。
研究人員無意釋放他的裝載機公開���,因為其潛在的濫用。然而�����,熟練的黑客可以創(chuàng)建自己的裝載機�����,如果他們愿意投入同樣的努力��。
研究人員測試了他的反病毒產(chǎn)品的反射式的體育裝載機�����,并成功地執(zhí)行惡意軟件這些產(chǎn)品將有其他檢測��。
在演示中�����,他把一個勒索計劃���,一個防病毒產(chǎn)品正常檢測和阻斷��,將它添加到一個數(shù)字簽名的文件的行為��,并執(zhí)行它與反射PE裝載器�����。
防病毒產(chǎn)品檢測后��,它已經(jīng)加密的用戶所有的文件被勒索贖金的程序創(chuàng)建的文本文件�����。也就是說�����,太晚了��。
即使攻擊者沒有Nipravsky的反思性PE裝載器���,他們?nèi)匀豢梢允褂眯畔㈦[藏技術(shù)來隱藏惡意軟件的配置數(shù)據(jù)在合法的文件或exfiltrate數(shù)據(jù)被盜的組織。在一個數(shù)字簽名的文件中隱藏的數(shù)據(jù)可能會通過網(wǎng)絡(luò)級的流量檢查系統(tǒng)��,而不會出現(xiàn)問題。 |
|
加載中...
發(fā)表于 2016-8-6 13:04:52
收藏