Google: Προσοχή αόρατο κακόβουλο λογισμικό


Μία από τις ομάδες ασφαλείας της Google ανακοίνωσε ότι ανακάλυψε ένα είδος κακόβουλου λογισμικού που κάνει κατάχρηση μιας νέας τεχνικής για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας τροποποιώντας έξυπνα την ψηφιακή υπογραφή των αρχείων του.

0day bw

Ανακαλύφθηκε από τον Neel Mehta, ερευνητή ασφαλείας στην ομάδα ανάλυσης απειλών Google (TAG από το Threat Analysis Group). Η τεχνική αυτή χρησιμοποιήθηκε από ένα στέλεχος adware που ονομάζεται OpenSUpdater.

Στα δείγματα, η ψηφιακή υπογραφή επεξεργαζόταν και ο δείκτης End of Content (EOC) άλλαζε σε ένα NULL tag στο στοιχείο “παραμέτρων” του SignatureAlgorithm που υπογράφει το πιστοποιητικό leaf X.509. Οι δείκτες EOC τερματίζουν κωδικοποιήσεις αορίστου μήκους, αλλά σε αυτή την περίπτωση το EOC χρησιμοποιείται για την κωδικοποίηση ορισμένου μήκους (l=13).

Η τεχνική εξήγηση που δίνει ο ερευνητής είναι λίγο δύσκολο να κατανοηθεί από χρήστες που δεν γνωρίζουν, αλλά ο Mehta αναφέρεται σε μια μικρή επεξεργασία που έκαναν οι προγραμματιστές του OpenSUpdater σε ένα μικρό πεδίο μέσα στην ψηφιακή υπογραφή των ωφέλιμων φορτίων του.

Σε συστήματα Windows, αυτή η μικρή επεξεργασία δεν φαίνεται τους ελέγχους της υπογραφής κάποιου αρχείου του λειτουργικού συστήματος, κάτι που κάνει το κακόβουλο λογισμικό αόρατο. Αυτό του επιτρέπει να τρέχει χωρίς προειδοποιήσεις ασφαλείας.

Ο Mehta αναφέρει ότι τα προϊόντα ασφαλείας, που χρησιμοποιούν την βιβλιοθήκη OpenSSL για να αναλύσουν και να εξαγάγουν τις πληροφορίες υπογραφής ενός αρχείου, θα αποτύχουν να σαρώσουν αρχεία που η ψηφιακή τους υπογραφή έχει τροποποιηθεί με αυτήν τη μέθοδο.

“Αυτή είναι η πρώτη φορά που η TAG ανακάλυψε hackers που χρησιμοποιούν αυτήν την τεχνική για να αποφύγουν τον εντοπισμό διατηρώντας ταυτόχρονα μια έγκυρη ψηφιακή υπογραφή σε αρχεία PE”, ανέφερε σήμερα ο Mehta.

Ο ερευνητής της Google επικοινώνησε με την Microsoft, και ανέφερε το κενό ασφαλείας για να αλλάξει τους αλγόριθμους του ελέγχου των ψηφιακών υπογραφών.

Τα αρχεία που έχουν μολυνθεί με το adware OpenSUpdater διανέμονται επί του παρόντος μέσω cracked παιχνιδιών και λογισμικού.

Μόλις μολύνει ένα σύστημα, το adware χρησιμοποιείται για τη λήψη και εγκατάσταση ανεπιθύμητου λογισμικού.

Η Google αναφέρει ότι τα περισσότερα θύματα του OpenSUpdater βρίσκονται στις ΗΠΑ.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news