Araştırmacı, gizli dijital imzalı dosyalar içindeki gizli zararlı yazılımları gizler

Yeni bir teknik, saldırganların imzalarını kırmadan dijital imzalı dosyalar içinde kötü amaçlı kodları gizlemelerine ve daha sonra bu kodu doğrudan başka bir işlemin belleğine yüklemesine izin verir.

siber güvenlik firması Deep Instinct ile araştırmacı Tom Nipravsky tarafından geliştirilen saldırı metodu, gelecekte suçluların ve casusluk gruplarının değerli bir aracı olabileceğini kanıtlayarak, antivirüs tarayıcılarını ve diğer güvenlik ürünlerini geçmişte kötü amaçlı yazılımlara sahip olmalarını sağladı.

Bu hafta Las Vegas'taki Black Hat güvenlik konferansında sunulan Nipravsky'nin araştırmasının bir kısmı, dosya steganografisi ile ilgili. Verileri meşru bir dosya içinde saklamanın yolu.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Kötü amaçlı yazılım yazarları geçmişte resimlerin içindeki kötü amaçlı kod veya kötü amaçlı yazılım yapılandırma verilerini gizlerken, Nipravsky'nin tekniği dijital olarak imzalanmış dosyalar ile aynı şeyi yapmasını sağlar. Bu önemli bir şey, bir dosyayı dijital olarak imzalamanın tümünün, belirli bir geliştiriciden geldiğini ve rotada değiştirilmediğini garanti etmektir.

Yürütülebilir bir dosya imzalanmışsa, imzasıyla ilgili bilgiler başlığında saklanır. Dosyanın hash - hash'larının bir kriptografik temsili olarak hizmet eden benzersiz bir dizgi hesaplanırken hariç tutulan öznitelik sertifika tablosu (ACT) adında bir alanın içinde.

Bu, dijital sertifika bilgileri orijinalin bir parçası olmadığı için mantıklıdır. imzalandığı anda dosya. Dosyanın kendi yaratıcısı tarafından tasarlandığı şekilde yapılandırıldığını ve belirli bir hash değerine sahip olduğunu onaylamak için yalnızca daha sonra eklenmiştir.

Bununla birlikte, saldırganların dosya karma değerini değiştirmeden ACT alanının içinde başka bir tam dosya da dahil olmak üzere veri ekleyebileceği anlamına gelir. imzayı bozmak. Böyle bir eklenti, diskteki toplam dosya boyutunu, başlık alanlarını da içerecek şekilde değiştirecektir ve bu dosya boyutu, bir dosya imzasını doğrularken Microsoft'un Authenticode teknolojisi tarafından kontrol edilir.

Bununla birlikte, dosya boyutu, içinde üç farklı yerde belirtilir. dosya üstbilgisi ve bu değerlerden ikisi bir imzayı bozmadan bir saldırgan tarafından değiştirilebilir. Sorun, Authenticode'un bu değiştirilebilen iki dosya boyutu girişini denetlemesi ve üçüncü dosyayı denetlememesidir.

Nipravsky'ye göre, bu, Authenticode'daki bir tasarım mantığı hatasıdır. Teknoloji üçüncü, değiştirilemeyen dosya boyutu değerini kontrol etseydi, saldırganlar bu hileyi çıkaramayacaklar ve dosya imzasını hala geçerli tutamayacaklardı.

ACT'e eklenen zararlı veriler belleğe yüklenmediğinde Değiştirilen dosyanın kendisi, dosya gövdesi değil, başlığın bir parçası olduğu için yürütülür. Ancak, ACT, kötü amaçlı bir dosya algılanmamış geçmiş antivirüs savunmalarını iletmek için bir saklanma yeri olarak kullanılabilir.

Örneğin, saldırganlar zararlı kodlarını Microsoft imzalı Windows sistem dosyalarından birine veya bir Microsoft Office dosyasına ekleyebilirler. İmzaları hala geçerli olacak ve dosyalar işlevsel olacaktı.

Ayrıca, çoğu güvenlik uygulaması bu dosyaları beyaz listeye dahil eder çünkü kritik dosyaları silen ve sistemi çökerten yanlış pozitif tespitlerden kaçınmak için güvenilir yayıncı Microsoft tarafından imzalanmıştır.

Nipravsky'nin araştırmasının ikinci kısmı, tespit edilmeden imzalı dosyaların içinde saklanan kötü amaçlı yürütülebilir dosyaları yüklemek için gizli bir yol geliştirmekti. Windows, PE dosyalarını belleğe yüklerken gerçekleştirdiği perde arkası sürecini tersine çevirdi. Bu prosedür genel olarak belgelenmemektedir, çünkü geliştiriciler genellikle bunu kendileri yapmak zorunda değildir; Dosya yürütme için işletim sistemine güvenirler.

Dört saatlik sekiz saatlik çalışma sürüyordu, ancak Nipravsky'nin tersine mühendislik çabaları, sözde yansıtıcı bir PE yükleyici oluşturmasına izin verdi: taşınabilir yürütücüleri doğrudan disk üzerinde herhangi bir iz bırakmadan sistem belleğine yükleyebilen bir uygulama. Yükleyici, Windows'un yaptığı tam işlemi kullandığı için, güvenlik çözümlerinin davranışlarını şüpheli olarak algılaması zordur.

Nipravsky'nin yükleyici, sürücü tarafından karşıdan yüklenen bir indirme kötücülünün kötü amaçlı yazılım düşürücüsünü çalıştırdığı gizli bir saldırı zincirinin parçası olarak kullanılabilir. bellekte. İşlem, daha sonra, bir sunucudan ACT içinde kötü amaçlı kod içeren dijital olarak imzalanmış bir dosyayı indirir ve bu kodu doğrudan belleğe yükler.

Araştırmacının, kötüye kullanma potansiyeli nedeniyle yükleyiciyi herkese açık bir şekilde serbest bırakma niyeti yoktur. Bununla birlikte, yetenekli bilgisayar korsanları, aynı çabayı göstermeye istekliyse kendi yükleyicilerini yaratabilirler.

Araştırmacı, yansıtıcı PE yükleyicisini antivirüs ürünlerinden test etti ve ürünlerin tespit edeceği kötü amaçlı yazılımları çalıştırmayı başardı.

Bir demo, bir antivirüs ürünü normalde tespit ve engellenen bir ransomware programı aldı, dijital olarak imzalanmış bir dosyanın ACT'ye ekledi ve yansıtıcı PE yükleyici ile çalıştırdı.

Antivirüs ürünü sadece oluşturulan fidye metin dosyasını buldu ransomware programı tarafından tüm kullanıcı dosyalarını önceden şifreledikten sonra. Başka bir deyişle, çok geç.

Saldırganlar Nipravsky'nin yansıtıcı PE yükleyicisine sahip olmasalar bile, meşru dosyalar içindeki kötü amaçlı yazılım konfigürasyon verilerini gizlemek ve hatta organizasyonlardan çalınan verileri genişletmek için steganografi tekniğini kullanabilirler. Dijital olarak imzalanmış bir dosyanın içine gizlenen veriler, ağ düzeyindeki trafik denetim sistemlerini sorunsuz bir şekilde geçirebilir.