Malware μεταμφιέζονται σε software για μη ανιχνεύσιμες επιθέσεις

Θα πρέπει να είστε ευγνώμονες που η παρακάτω δημοσίευση παρουσιάζει μόνο ένα proof-of-concept ενός : Γερμανοί ερευνητές έδειξαν ότι οι μηχανισμοί διανομής λογισμικού στο Διαδίκτυο μπορούν να μετατραπούν σε φορείς , χωρίς την τροποποίηση του αρχικού κώδικα.

Malware

Οι Felix Gröbert, Ahmad-Reza Sadeghi και Marcel Winandy από το Πανεπιστήμιο του Ruhr κατάφεραν να αναπτύξουν ένα μηχανισμό on-the-fly για την έγχυση κώδικα σε μια λήψη. Όπως γράφουν στην εργασία τους (PDF) που φιλοξενείται στο PacketStorm:

“Ο αλγόριθμος μας χρησιμοποιεί virus infection routines και επιθέσεις ανακατεύθυνσης δικτύου, χωρίς να χρειάζεται να τροποποιήσει την ίδια την εφαρμογή. Αυτό επιτρέπει την μόλυνση των εκτελέσιμων αρχείων που κατεβαίνουν με μια ενσωματωμένη ψηφιακή υπογραφή, αφού η υπογραφή δεν ελέγχεται αυτόματα πριν από την εκτέλεση του αρχείου. “

Χρησιμοποιούν αυτό που αποκαλούν ένα συνδετικό (binder) για να ενώσουν στην αρχική εφαρμογή, τον κακόβουλο κώδικα. “Κατά την εκκίνηση της μολυσμένης εφαρμογής το binder ξεκινάει επίσης. Αναλύει το δικό του αρχείο για πρόσθετα ενσωματωμένα εκτελέσιμα αρχεία, τα αναδομεί και τα εκτελεί. Όλα αυτά είναι εντελώς αόρατα στον χρήστη.”

  Trojan Kovter τι είναι και πως μπορώ να προστατευτώ

redirect attack

Μια επιτυχής επίθεση εξαρτάται πάρα πολύ από την ικανότητα ανακατεύθυνσης της κίνησης, όπως φαίνεται παραπάνω.

Οι κυβερνήσεις, αναφέρουν οι ερευνητές, θα μπορούσαν να είναι σε θέση να εκμεταλλεύονται τους κόμβους του δικτύου μεταξύ του αποστολέα και του δέκτη για να επισκιάσουν την κίνηση. Το ίδιο μπορεί να γίνει και με τα ευάλωτα .

Για να μετριάσουν τέτοιες επιθέσεις, οι ερευνητές αναφέρουν ότι οι διανομείς λογισμικού θα πρέπει να ενισχύσουν τους μηχανισμούς διανομής τους, για να αποκλείσουν τα hijacks της  κυκλοφορίας. Τεχνολογίες όπως OpenVPN, IPSec ή HTTPS θα βοηθούσαν αρκετά.

Οι ψηφιακές υπογραφές φαίνεται να μην βοηθούν σε αυτό το hack και θα πρέπει ο χρήστης ή το λειτουργικό να μπορεί να ελέγχουν τα hash. “Οι τιμές αναφοράς θα πρέπει να λαμβάνονται μέσω αξιόπιστων καναλιών.”

Τα λογισμικά Anti-virus από την άλλη θα πρέπει να τροποποιηθούν για να ελέγχουν για τη συμπεριφορά του binder. Αρχιτεκτονικές “trusted virtualisation” θα μπορούσαν επίσης να βοηθήσουν.

  Rocky Linux 8.4 RC1 το επερχόμενο CentOS
The Register

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


15  +    =  18