Израильские исследователи придумали новый способ внедрения вредоносного кода в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Данный метод может стать ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.
Такая разработка позволяет спрятать вредоносный код в файл с легитимной цифровой подписью, что имеет довольно важное значение, поскольку наличие подписи, по идее, должно гарантировать подлинность файла.
Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. По словам Ниправски, информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники могут добавлять данные нарушения цифровой подписи.
В ОС Windows реализована технология проверки подлинности программного обеспечения Microsoft Authenticode, однако из-за ошибки в дизайне инструмент проверяет только два значения размера файла (злоумышленник может модифицировать их без нарушения цифровой подписи) в его заголовке, но не третье, неизменяемое значение.
При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, поскольку содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.
Такая разработка позволяет спрятать вредоносный код в файл с легитимной цифровой подписью, что имеет довольно важное значение, поскольку наличие подписи, по идее, должно гарантировать подлинность файла.
Информация о цифровом сертификате содержится в заголовке файла в поле таблицы Атрибутов Сертификата (ACT), не учитываемой при подсчете хэш-суммы файла. По словам Ниправски, информация о цифровом сертификате добавляется уже после того, как файл был скомпилирован. Таким образом злоумышленники могут добавлять данные нарушения цифровой подписи.
В ОС Windows реализована технология проверки подлинности программного обеспечения Microsoft Authenticode, однако из-за ошибки в дизайне инструмент проверяет только два значения размера файла (злоумышленник может модифицировать их без нарушения цифровой подписи) в его заголовке, но не третье, неизменяемое значение.
При исполнении модифицированного файла добавленный в ACT вредоносный код не загружается в системную память, поскольку содержится в заголовке, а не теле файла. Тем не менее, ACT может служить отличным укрытием, позволяющим вредоносному файлу избежать обнаружения антивирусными решениями. К примеру, злоумышленники могут внедрить вредоносный код в легитимные системные файлы Windows или Microsoft Office. Их подписи будут действительны, а сами файлы – функциональны.
