谷歌警告：黑客可利用新技術(shù)使惡意軟件逃避Windows檢測(cè)

網(wǎng)絡(luò)安全研究人員公布了一項(xiàng)新技術(shù)，威脅行動(dòng)者利用惡意軟件有效載荷的畸形數(shù)字簽名故意逃避檢測(cè)。

谷歌威脅分析集團(tuán)的Neel Mehta在周四發(fā)表的一篇文章中說(shuō):“攻擊者創(chuàng)建了畸形的代碼簽名，這些簽名被Windows視為有效的，但無(wú)法被OpenSSL代碼解碼或檢查——許多安全掃描產(chǎn)品都使用OpenSSL代碼?！?/p>

據(jù)觀察，這一新機(jī)制被一個(gè)臭名昭著的、被稱(chēng)為OpenSUpdater的惡意軟件家族所利用，該軟件被用來(lái)在受攻擊的系統(tǒng)上下載和安裝其他可疑程序。此次行動(dòng)的主要目標(biāo)是美國(guó)用戶，他們喜歡下載破解版的游戲和其他灰色地帶軟件。

這些發(fā)現(xiàn)來(lái)自于至少自8月中旬以來(lái)上傳至VirusTotal的一組OpenSUpdater樣本。

雖然過(guò)去的攻擊者依靠非法獲得的數(shù)字證書(shū)來(lái)偷偷通過(guò)惡意軟件檢測(cè)工具竊取廣告軟件和其他不需要的軟件，或者通過(guò)毒害軟件供應(yīng)鏈將攻擊代碼嵌入到數(shù)字簽名的可信軟件組件中，但OpenSUpdater因其故意使用畸形簽名來(lái)繞過(guò)防御而引人注目。

工件使用一個(gè)無(wú)效的leaf X.509證書(shū)進(jìn)行簽名，該證書(shū)的編輯方式是SignatureAlgorithm字段的“parameters”元素包含一個(gè)內(nèi)容結(jié)束符 (EOC) 標(biāo)記而不是NULL標(biāo)記。盡管使用OpenSSL檢索簽名信息的產(chǎn)品會(huì)以無(wú)效為由拒絕此類(lèi)編碼，但Windows系統(tǒng)上的檢查將允許該文件在沒(méi)有任何安全警告的情況下運(yùn)行。

“這是TAG第一次觀察到參與者使用這種技術(shù)來(lái)逃避檢測(cè)，同時(shí)在PE文件上保存有效的數(shù)字簽名，”Mehta稱(chēng)。

“Windows可執(zhí)行文件上的代碼簽名保證了簽名可執(zhí)行文件的完整性，以及有關(guān)簽名者身份的信息。攻擊者能夠在不影響簽名完整性的情況下在簽名中隱藏自己的身份，從而避免更長(zhǎng)的檢測(cè)，并延長(zhǎng)他們的代碼簽名證書(shū)的生命周期，從而感染更多的系統(tǒng)?！?/p>

從以上看來(lái)，軟件安全防御系統(tǒng)并非萬(wàn)無(wú)一失，隨著惡意軟件的入侵方式不斷進(jìn)化，傳統(tǒng)防御系統(tǒng)在一定程度上形同虛設(shè)，這為網(wǎng)絡(luò)安全增加潛在威脅和風(fēng)險(xiǎn)。

習(xí)總書(shū)記指出，國(guó)家安全是安邦定國(guó)的重要基石，網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜化，網(wǎng)絡(luò)安全問(wèn)題無(wú)處不在，僅靠傳統(tǒng)的“老三樣”(殺毒軟件、防火墻、入侵檢測(cè)系統(tǒng))已難以應(yīng)對(duì)不斷進(jìn)化的網(wǎng)絡(luò)攻擊，因此在軟件開(kāi)發(fā)時(shí)不斷檢測(cè)并修復(fù)代碼缺陷減少安全漏洞，是提高網(wǎng)絡(luò)安全防御能力，減少數(shù)據(jù)丟失的重要手段!數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問(wèn)題是由軟件自身的安全漏洞被利用導(dǎo)致，因此通過(guò)靜態(tài)代碼檢測(cè)來(lái)提高軟件自身安全性，已成為新時(shí)代抵御網(wǎng)絡(luò)攻擊的又一有效方式。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開(kāi)始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=0921fd2660bb4a80a14018f4688186ce

https://thehackernews.com/2021/09/google-warns-of-new-way-hackers-can.html