Malware que pode infectar arquivos com assinatura digital

malwareO pesquisador de segurança Tom Nipravsky, da Deep Instinct, demonstrou um malware que pode infectar arquivos assinados digitalmente sem alterar seus hashes.

Nipravsky inseriu o código malicioso no campo do arquivo que contém informações sobre os certificados digitais. Outro detalhe é que este campo não está sujeito ao cálculo de hash.

Uma de três verificações de tamanho de arquivos não é conduzida corretamente pelo Authenticode da Microsoft, permitindo a alteração de certos valores para que os arquivos com assinatura digital infectados apareçam como válidos.

Nipravsky utilizou engenharia reversa no processo de carregamento do executável portátil para desenvolver o Reflective PE Loader, que pode injetar o código malicioso na memória do sistema sem alertar as soluções de segurança presentes nele.

Nipravsky e seus colegas na Deep Instinct descreveram seu trabalho com o malware no artigo “Certificate bypass: Hiding and executing malware from a digitally signed executable” disponível aqui*, divulgado na conferência de segurança realizada em Las Vegas na semana passada.

De acordo com o artigo, que oferece mais detalhes técnicos, o ataque passa pelas soluções de segurança sem ser detectado no disco e durante seu carregamento ao armazenar o código malicioso nos arquivos assinados e sem invalidar a assinatura. Ele também evita a detecção durante a execução.

Fontes: Baboo e The Register

Os comentários estão desativados.

%d blogueiros gostam disto: