Μια ομάδα ερευνητών ασφάλειας από το Deep Instinct ανακάλυψε μια μέθοδο για να εισάγει malware μέσα σε ένα ψηφιακά υπογεγραμμένο binary χωρίς να επηρεάζεται το συνολικό hash του αρχείου, η οποία σχεδόν διασφαλίζει ότι το antivirus και το λογισμικό ασφαλείας δεν θα ανιχνεύσουν το κακόβουλο αρχείο.
Όταν οι χρήστες κάνουν διπλό κλικ σε ένα εκτελέσιμο και εκκινηθεί, τα Windows κάνουν τρία πράγματα. Πρώτα διαβάζουν τα PE (Portable Executable) headers του αρχείου, μετά επικυρώνουν το πιστοποιητικό και τέλος επικυρώνουν το hash του αρχείου.
Μετά από reverse-engineering σε όλη αυτή τη διαδικασία, η ομάδα της Deep Instinct ανακάλυψε ότι τα Windows δεν περιλαμβάνουν τρία επίπεδα από τα PE headers, κατά τη διαδικασία επικύρωσης, μέχρι την επικύρωση του hash αρχείου και ότι τροποποιώντας αυτά τα τρία αυτά κομμάτια δεν καταστρέφεται η ισχύς του πιστοποιητικού.
Τα πεδία είναι το Checksum του αρχείου, ο attribute certificate πίνακας και το IMAGE_DIRECTORY_ENTRY_SECURITY πεδίο από το DataDirectory τμήμα.
Στον proof-of-concept κώδικα, που δεν αποκάλυψαν για τους προφανείς λόγους, η ερευνητική ομάδα εισήγαγε κακόβουλο κώδικα μέσα στον attribute certificate πίνακα, με επιτυχία αφήνοντας το ψηφιακό πιστοποιητικό και το hash του αρχείου ανέπαφα.
Αυτή η μέθοδος είναι τόσο αποτελεσματική, που οι malware προγραμματιστές δεν χρειάζεται καν να κρύψουν τον κακόβουλο κώδικά τους μέσω packers (code obfuscators). Ο λόγος είναι ότι τα antivirus και λογισμικά ασφαλείας αγνοούν αυτόματα κάθε ψηφιακή υπογραφή του αρχείου.
Η τεχνική αυτή, αφήνοντας το hash του αρχείου ανέπαφο, παρακάμπτει και οποιονδήποτε άλλο δευτεροβάθμιο έλεγχο λογισμικού ασφαλείας που μπορεί να εκτελεστεί, εκτός από τον έλεγχο για ένα ψηφιακό πιστοποιητικό.
Οι ερευνητές παρέκαμψαν και το πρόβλημα του να μην είναι σε θέση να εκτελεστεί ο κακόβουλος κώδικας από τον attribute certificate πίνακα ενός αρχείου, ο οποίος υπάρχει στο ψηφιακό πιστοποιητικό του αρχείου.
“Η ύπαρξη ενός κακόβουλου αρχείου στο δίσκο χωρίς να χρειάζεται να το αναγνωρίσεις είναι εύκολο, αλλά δεν έχει τίποτα να κάνει με το αν το καθιστάς ενδιαφέρον”, εξήγησε η ερευνητική ομάδα στην πρόσφατη Black Hat παρουσίασή τους. “Αυτός είναι ο λόγος για τον οποίο δημιουργήσαμε έναν Reflective PE Loader: Για να εκτελεί τα ΡΕ αρχεία απευθείας από τη μνήμη”
Παρά την επιτυχία τους, η ομάδα της Deep Instinct είπε ότι ο Reflective PE Loader τους δεν υποστηρίζει 64-bit αρχιτεκτονικές, τουλάχιστον προς το παρόν.
Για τους malware συγγραφείς, η έρευνα της Deep Instinct ομάδας είναι το Ευαγγέλιο του malware προγραμματισμού, που παρέχει την ιδανική μέθοδο απόκρυψης κακόβουλου κώδικα σε κοινή θέα, ακριβώς μέσα στο ψηφιακό πιστοποιητικό, το τμήμα του αρχείου που υποτίθεται ότι επικυρώνει την προέλευση ενός αρχείου και τη διαφύλαξη των χρηστών από κακόβουλα λογισμικά.
