2021-09-25 03:27:39
جوجل تحذر من طريقة جديدة يمكن للقراصنة من خلالها جعل البرامج الضارة غير قابلة للكشف على Windows
في 24 سبتمبر 2021 ، رافي لاكشمانان
البرامج الضارة غير قابلة للكشف على Windows
كشف باحثو الأمن السيبراني عن تقنية جديدة اعتمدتها الجهات المهددة للتهرب عمداً من الاكتشاف بمساعدة التوقيعات الرقمية المشوهة لحمولات البرامج الضارة الخاصة بها.
قال نيل ميهتا من Google Threat Analysis Group في رسالة مكتوبة: "أنشأ المهاجمون توقيعات تعليمات برمجية مشوهة يتم التعامل معها على أنها صالحة بواسطة Windows ولكن لا يمكن فك تشفيرها أو التحقق منها بواسطة رمز OpenSSL - والذي يتم استخدامه في عدد من منتجات فحص الأمان". نشرت يوم الخميس.
لوحظ أن الآلية الجديدة يتم استغلالها من قبل عائلة سيئة السمعة من البرامج غير المرغوب فيها المعروفة باسم OpenSUpdater والتي تُستخدم لتنزيل البرامج المشبوهة الأخرى وتثبيتها على الأنظمة المخترقة. معظم أهداف الحملة هم المستخدمون الموجودون في الولايات المتحدة والمعرضون لتنزيل إصدارات متصدعة من الألعاب وبرامج أخرى في المنطقة الرمادية.
جاءت النتائج من مجموعة من عينات OpenSUpdater تم تحميلها على VirusTotal منذ منتصف أغسطس على الأقل.
البرامج الضارة غير قابلة للكشف على Windows
لا يقتصر الأمر على توقيع القطع الأثرية بشهادة X.509 غير صالحة للطرف والتي تم تحريرها بطريقة تضمن فيها عنصر "المعلمات" في حقل SignatureAlgorithm علامة نهاية المحتوى (EOC) بدلاً من علامة NULL. على الرغم من رفض مثل هذه الترميزات باعتبارها منتجات ثانوية غير صالحة تستخدم OpenSSL لاسترداد معلومات التوقيع ، فإن عمليات التحقق على أنظمة Windows ستسمح بتشغيل الملف دون أي تحذيرات أمنية.
منع خروقات البيانات
قال ميهتا: "هذه هي المرة الأولى التي تلاحظ فيها TAG الممثلين الذين يستخدمون هذه التقنية لتجنب الكشف مع الحفاظ على توقيع رقمي صالح على ملفات PE".
"توفر توقيعات التعليمات البرمجية على الملفات التنفيذية لـ Windows ضمانات حول تكامل ملف تنفيذي موقّع ، بالإضافة إلى معلومات حول هوية الموقّع. يمكن للمهاجمين القادرين على إخفاء هويتهم في التوقيعات دون التأثير على سلامة التوقيع تجنب الكشف لفترة أطول ويمتدوا عمر شهادات توقيع الشفرات الخاصة بهم لإصابة المزيد من الأنظمة. "
400 viewsGLITCHG4x , 00:27