О махинациях с подписями
17 августа 2016
Попытки поиска путей обхода антивирусной защиты предпринимаются исследователями с разных сторон постоянно. И это правильно: антивирус должен стремиться к идеалу, хоть полная неуязвимость и невозможна. А уязвимое ПО не может противостоять вредоносным программам.
Исследователь из израильской компании Deep Instinct Том Ниправски (Tom Nipravsky) разработал новый метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Результаты исследования эксперт представил в рамках конференции по безопасности Black Hat.
Разработанный Ниправски метод может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.
Проблема заключается в том, что подпись файла нужно где-то хранить. Реализованная в ОС Windows технология проверки подлинности программного обеспечения Microsoft Authenticode хранит информацию в заголовке файла в поле Таблицы атрибутов сертификата (ACT), которая не учитывается в контрольной сумме файла, так как информация в нее заносится уже после подсчета суммы. И именно сюда злоумышленник может поместить нужные ему данные.
#цифровая_подпись #безопасность #технологииАнтивирусная правДА! рекомендует
В случае антивирусных решений Dr.Web в подписываемых файлах отсутствуют места, не контролируемые с помощью подписи файла. Система защиты Dr.Web исходит из того, что доверять подписи файла – опрометчиво. В частности потому, что известны многочисленные случаи подписи файлов самими злоумышленниками.
BackDoor.Dande, предназначенный для хищения информации из приложений, используемых аптеками и фармацевтическими фирмами, инфицировал компьютеры порядка 400 аптек, расположенных преимущественно в южных регионах России.
Троянцы семейства BackDoor.Dande заражают компьютеры, работающие под управлением Microsoft Windows. Первая версия этой вредоносной программы была предназначена для хищения информации из нескольких используемых в фармацевтической индустрии «систем электронного заказа», таких как специализированная конфигурация «Аналит: Фармация» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторых других. Обновленная версия BackDoor.Dande, получившая наименование BackDoor.Dande.2, ориентирована на сбор данных только из приложения «АИАС ИНПРО-ФармРынок» производства компании «Информационные Технологии».
В составе BackDoor.Dande.2 имеется два драйвера, при этом оба имеют цифровую подпись, зарегистрированную на имя SPВ Group OOO.
http://news.drweb.com/show/?c=5&i=4349&lng=ru
Драйверы, которые Trojan.Stuxnet устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp.
Несмотря на различные утверждения о том, что существуют подобные возможности обмана антивирусных программ, мы можем сделать вывод: доверять системам защиты, основанным исключительно на контроле целостности файлов на основе их контрольных сумм и подписей, – опрометчиво.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
22:00:53 2018-08-04
vasvet
20:48:59 2018-04-23
alex-diesel
16:37:12 2018-03-17
Toma
20:07:29 2017-12-12
Natalya_2017
12:31:03 2017-04-05
dima.selin
09:32:48 2017-02-21
eaglebuk
20:27:51 2017-02-05
Шалтай Александр Болтай
17:05:24 2017-01-10
Пaвeл
17:44:00 2016-12-21
Zserg
19:26:10 2016-11-23
М...ч
17:28:57 2016-10-23
bob123456
17:09:21 2016-08-23
kama35
09:34:01 2016-08-21
2018
22:40:25 2016-08-18
Voin sveta
11:39:52 2016-08-18
Coolander
05:07:13 2016-08-18
tosya
23:22:48 2016-08-17
azimut
22:33:49 2016-08-17
В...а
22:20:01 2016-08-17
Б...а
22:17:05 2016-08-17
Luger
22:12:36 2016-08-17
НинаК
21:55:28 2016-08-17
zzv
21:48:12 2016-08-17
ek
21:47:08 2016-08-17
Геральт
21:28:32 2016-08-17
kva-kva
21:18:19 2016-08-17
Неуёмный Обыватель
20:53:54 2016-08-17
Неуёмный Обыватель
20:19:02 2016-08-17
Беда в том, что пользователи, миллионами доверяющие таким "продвинутым технологиям", даже не подозревают о том, что это опасно.
Спасибо вам, что несете знания в массы!
Deniskaponchik
20:08:13 2016-08-17
mk.insta
19:59:00 2016-08-17
B0RIS
18:40:16 2016-08-17
Zulfat
15:53:46 2016-08-17
арес
13:44:46 2016-08-17
Влад
13:27:04 2016-08-17
Dvakota
12:54:24 2016-08-17
HeLL
11:42:04 2016-08-17
AlexeyOloryal
11:34:14 2016-08-17
Azat
10:51:26 2016-08-17
Nikodim2011
10:43:26 2016-08-17
DrKV
09:49:33 2016-08-17
Информационная безопасность - понятие относительное. Только очень подготовленный пользователь может более или менее предпринять какие-либо меры, а о простом пользователе и говорить нечего. У таких компьютер - сплошная информационная опасность.
dyadya_Sasha
09:42:36 2016-08-17
razgen
09:24:09 2016-08-17
Ж...ч
09:16:06 2016-08-17
Vlad X
09:15:24 2016-08-17
Damir
08:34:23 2016-08-17
a13x
07:45:06 2016-08-17
GREII
07:17:05 2016-08-17
marisha-san
07:15:20 2016-08-17
Sasha50
07:04:05 2016-08-17
Nikolas
06:56:12 2016-08-17