ΑρχικήSecurityMalware σε ψηφιακά υπογεγραμμένα αρχεία χωρίς να σπάσουν τα hashes;

Malware σε ψηφιακά υπογεγραμμένα αρχεία χωρίς να σπάσουν τα hashes;

Μια ομάδα ερευνητών ασφάλειας από το Deep Instinct ανακάλυψε μια μέθοδο για να εισάγει malware μέσα σε ένα ψηφιακά υπογεγραμμένο binary χωρίς να επηρεάζεται το συνολικό hash του αρχείου, η οποία σχεδόν διασφαλίζει ότι το antivirus και  το λογισμικό ασφαλείας δεν θα ανιχνεύσουν το κακόβουλο αρχείο.

Malware σε ψηφιακά υπογεγραμμένα αρχεία χωρίς να σπάσουν τα hashes;

Όταν οι χρήστες κάνουν διπλό κλικ σε ένα εκτελέσιμο και εκκινηθεί, τα Windows κάνουν τρία πράγματα. Πρώτα διαβάζουν τα PE (Portable Executable) headers του αρχείου, μετά επικυρώνουν το πιστοποιητικό και τέλος επικυρώνουν το hash του αρχείου.

Μετά από reverse-engineering σε όλη αυτή τη διαδικασία, η ομάδα της Deep Instinct ανακάλυψε ότι τα Windows δεν περιλαμβάνουν τρία επίπεδα από τα PE headers, κατά τη διαδικασία επικύρωσης, μέχρι την επικύρωση του hash αρχείου και ότι τροποποιώντας αυτά τα τρία αυτά κομμάτια δεν καταστρέφεται η ισχύς του πιστοποιητικού.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 22 hours ago

Τα πεδία είναι το Checksum του αρχείου, ο attribute certificate πίνακας και το IMAGE_DIRECTORY_ENTRY_SECURITY πεδίο από το DataDirectory τμήμα.

Στον proof-of-concept κώδικα, που δεν αποκάλυψαν για τους προφανείς λόγους, η ερευνητική ομάδα εισήγαγε κακόβουλο κώδικα μέσα στον attribute certificate πίνακα, με επιτυχία αφήνοντας το ψηφιακό πιστοποιητικό και το hash του αρχείου ανέπαφα.

Αυτή η μέθοδος είναι τόσο αποτελεσματική, που οι malware προγραμματιστές δεν χρειάζεται καν να κρύψουν τον κακόβουλο κώδικά τους μέσω packers (code obfuscators). Ο λόγος είναι ότι τα antivirus και λογισμικά ασφαλείας αγνοούν αυτόματα κάθε ψηφιακή υπογραφή του αρχείου.

Η τεχνική αυτή, αφήνοντας το hash του αρχείου ανέπαφο, παρακάμπτει και οποιονδήποτε άλλο δευτεροβάθμιο έλεγχο λογισμικού ασφαλείας που μπορεί να εκτελεστεί, εκτός από τον έλεγχο για ένα ψηφιακό πιστοποιητικό.

Οι ερευνητές παρέκαμψαν και το πρόβλημα του να μην είναι σε θέση να εκτελεστεί ο κακόβουλος κώδικας από τον attribute certificate πίνακα ενός αρχείου, ο οποίος υπάρχει στο ψηφιακό πιστοποιητικό του αρχείου.

“Η ύπαρξη ενός κακόβουλου αρχείου στο δίσκο χωρίς να χρειάζεται να το αναγνωρίσεις είναι εύκολο, αλλά δεν έχει τίποτα να κάνει με το αν το καθιστάς ενδιαφέρον”, εξήγησε η ερευνητική ομάδα στην πρόσφατη Black Hat παρουσίασή τους. “Αυτός είναι ο λόγος για τον οποίο δημιουργήσαμε έναν Reflective PE Loader: Για να εκτελεί τα ΡΕ αρχεία απευθείας από τη μνήμη”

Παρά την επιτυχία τους, η ομάδα της Deep Instinct  είπε ότι ο Reflective PE Loader τους δεν υποστηρίζει 64-bit αρχιτεκτονικές, τουλάχιστον προς το παρόν.

Για τους malware συγγραφείς, η έρευνα της Deep Instinct  ομάδας είναι το Ευαγγέλιο του malware προγραμματισμού, που παρέχει την ιδανική μέθοδο απόκρυψης κακόβουλου κώδικα σε κοινή θέα, ακριβώς μέσα στο ψηφιακό πιστοποιητικό, το τμήμα του αρχείου που υποτίθεται ότι επικυρώνει την προέλευση ενός αρχείου και τη διαφύλαξη των χρηστών από κακόβουλα λογισμικά.

digitally-signed-files-without-breaking-hashes

spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS