Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

О махинациях с подписями

Прочитали: 5670 Комментариев: 56 Рейтинг: 307

17 августа 2016

Попытки поиска путей обхода антивирусной защиты предпринимаются исследователями с разных сторон постоянно. И это правильно: антивирус должен стремиться к идеалу, хоть полная неуязвимость и невозможна. А уязвимое ПО не может противостоять вредоносным программам.

Исследователь из израильской компании Deep Instinct Том Ниправски (Tom Nipravsky) разработал новый метод, позволяющий внедрить вредоносный код в файлы с легитимной цифровой подписью без нарушения сигнатуры и загрузить их в память другого процесса. Результаты исследования эксперт представил в рамках конференции по безопасности Black Hat.

Разработанный Ниправски метод может оказаться ценным инструментом для злоумышленников или хакерских группировок, специализирующихся на кибершпионаже, так как позволит им инфицировать систему вредоносным ПО незаметно для антивирусных решений.

http://www.securitylab.ru/news/483311.php

Проблема заключается в том, что подпись файла нужно где-то хранить. Реализованная в ОС Windows технология проверки подлинности программного обеспечения Microsoft Authenticode хранит информацию в заголовке файла в поле Таблицы атрибутов сертификата (ACT), которая не учитывается в контрольной сумме файла, так как информация в нее заносится уже после подсчета суммы. И именно сюда злоумышленник может поместить нужные ему данные.

#цифровая_подпись #безопасность #технологии

Антивирусная правДА! рекомендует

В случае антивирусных решений Dr.Web в подписываемых файлах отсутствуют места, не контролируемые с помощью подписи файла. Система защиты Dr.Web исходит из того, что доверять подписи файла – опрометчиво. В частности потому, что известны многочисленные случаи подписи файлов самими злоумышленниками.

BackDoor.Dande, предназначенный для хищения информации из приложений, используемых аптеками и фармацевтическими фирмами, инфицировал компьютеры порядка 400 аптек, расположенных преимущественно в южных регионах России.

Троянцы семейства BackDoor.Dande заражают компьютеры, работающие под управлением Microsoft Windows. Первая версия этой вредоносной программы была предназначена для хищения информации из нескольких используемых в фармацевтической индустрии «систем электронного заказа», таких как специализированная конфигурация «Аналит: Фармация» для платформы 1С, «Система электронного заказа» СЭЗ-2 производства компании «Аптека-Холдинг», программа формирования заявок компании «Российская Фармация», система электронного заказа фармацевтической группы «Роста», программа «Катрен WinPrice» и некоторых других. Обновленная версия BackDoor.Dande, получившая наименование BackDoor.Dande.2, ориентирована на сбор данных только из приложения «АИАС ИНПРО-ФармРынок» производства компании «Информационные Технологии».

В составе BackDoor.Dande.2 имеется два драйвера, при этом оба имеют цифровую подпись, зарегистрированную на имя SPВ Group OOO.

http://news.drweb.com/show/?c=5&i=4349&lng=ru

Драйверы, которые Trojan.Stuxnet устанавливает в систему, снабжены цифровыми подписями, украденными у производителей легального программного обеспечения. В июле стало известно об использовании подписей, принадлежащих таким компаниям, как Realtek Semiconductor Corp. и JMicron Technology Corp.

http://news.drweb.com/show/?c=5&i=1229&lng=ru

Несмотря на различные утверждения о том, что существуют подобные возможности обмана антивирусных программ, мы можем сделать вывод: доверять системам защиты, основанным исключительно на контроле целостности файлов на основе их контрольных сумм и подписей, – опрометчиво.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: