Разработчики вредоносных программ обманывают проверку Windows с помощью искаженных сертификатов

26
Новый вид мошенничества

Исследователи Google заметили, что разработчики вредоносных программ создают сигнатуры искаженного кода, которые считаются действительными в Windows для обхода программного обеспечения безопасности.

Эта тактика активно используется для распространения OpenSUpdater, семейства нежелательного программного обеспечения, также известного как потенциально опасное ПО, которое внедряет рекламу в браузеры жертв и устанавливает другие нежелательные программы на их устройства.

Кампании, координируемые финансово мотивированными злоумышленниками, стоящими за OpenSUpdater, будут пытаться заразить как можно больше устройств.

Большинство целей из США и, вероятно, заинтересованы в загрузке крэков игр и других инструментов, которые потенциально могут быть обнаружены в ловушках.

Нарушение синтаксического анализа сертификатов для уклонения от обнаружения

Примерно месяц назад исследователь безопасности Google Threat Analysis Group (TAG) Нил Мехта обнаружил, что разработчики нежелательного программного обеспечения, известного как OpenSUpdater, начали подписывать свои образцы законными, но намеренно искаженными сертификатами, принятыми Windows, но отклоненными OpenSSL.

При нарушении синтаксического анализа сертификатов для OpenSSL (который не сможет декодировать цифровые подписи и проверять их), вредоносные образцы не будут обнаружены некоторыми решениями безопасности, которые используют правила обнаружения на основе OpenSSL и позволят выполнять свои вредоносные задачи на жертвах.

«С середины августа образцы OpenSUpdater содержали недействительную подпись, и дальнейшее расследование показало, что это была преднамеренная попытка избежать обнаружения», — сказал Мехта.

«Продукты безопасности, использующие OpenSSL для извлечения информации подписи, отклонят эту кодировку как недопустимую.

«Однако для парсера, который разрешает эти кодировки, цифровая подпись двоичного файла в противном случае будет казаться законной и действительной».

Эта последняя часть позволяет OpenSUpdater обходить средства защиты, позволяя запускать образцы, развернутые на компьютере жертвы, без проблем.

Это происходит потому, что решения безопасности, использующие OpenSSL для анализа цифровых подписей, фактически игнорируют вредоносный характер образцов, поскольку они отклоняют информацию подписи как недействительную, что сбивает с толку и нарушает процесс сканирования вредоносных программ.

«С момента первого обнаружения этой активности авторы OpenSUpdater пробовали другие варианты недопустимых кодировок, чтобы избежать обнаружения», — добавил Мехта.

«Это первый раз, когда TAG наблюдала, как субъекты используют эту технику, чтобы избежать обнаружения, сохраняя действительную цифровую подпись на PE-файлах».

Обнаружив проблему, исследователь Google TAG также связался с Microsoft, чтобы сообщить об этой тактике уклонения от обнаружения.

Google TAG в настоящее время работает с командой Google Safe Browsing, чтобы заблокировать это семейство нежелательного программного обеспечения от дальнейшего распространения на компьютеры других жертв.

Исследование безопасности также побудило пользователей Google загружать и устанавливать программное обеспечение только из надежных источников.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here