Создатели вредоносного ПО придумали новый умный способ обмануть Windows 10

Исследователи считают, что это может быть первый случай, когда вредоносное ПО обманывает систему безопасности с помощью действительных сертификатов.

Создатели вредоносного ПО придумали новый умный способ обмануть Windows 10. Фото: Pixabay

Исследователи Google заметили, что разработчики вредоносных программ используют новый трюк, чтобы обойти сканирование вредоносных программ Windows 10 с помощью преднамеренно искажённых подписей на действительных сертификатах.

Исследователь кибербезопасности из Google Threat Analysis Group (TAG) Нил Мехта поделился подробностями о новом трюке, который используют разработчики вредоносного ПО OpenSUpdater.

Мехта обнаружил образцы вредоносного ПО, подписанные законными, но намеренно искажёнными сертификатами, что запутало механизм сканирования, поскольку сертификаты были приняты Windows, но отклонены OpenSSL.

Исследователь кибербезопасности из Google Threat Analysis Group (TAG) Нил Мехта:

«Продукты безопасности, использующие OpenSSL для извлечения информации подписи, отклонят эту кодировку как недопустимую. Однако для парсера, который разрешает эти кодировки, цифровая подпись двоичного файла в противном случае будет казаться законной и действительной»

По сути, этот метод нарушает синтаксический анализ сертификата для OpenSSL, не позволяя синтаксическим анализаторам декодировать цифровые подписи для проверки их подлинности.

Это позволяет вредоносным образцам избежать обнаружения решениями безопасности, использующими правила обнаружения на основе OpenSSL, что даёт им беспрепятственный доступ к компьютеру жертвы.

Мехта добавляет, что этот метод, возможно, является первым случаем, когда злоумышленники используют эту технику для уклонения от обнаружения. Более того, пока этот метод используется только авторами вредоносного ПО OpenSUpdater, чтобы внедрять рекламу в браузеры жертв и устанавливать другие нежелательные программы на их устройства.

Однако с момента первого обнаружения этой активности авторы OpenSUpdater пробовали другие варианты недопустимых кодировок, чтобы избежать обнаружения.

Google TAG также сообщил Microsoft об инновационной тактике уклонения, несмотря на то, что они работают с командой Google Safe Browsing, чтобы заблокировать это семейство нежелательного программного обеспечения.

Startpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме