Новая методика, которая делает возможным внедрение вредоносного кода в файлы с легитимной цифровой подписью без нарушения сигнатуры и их загрузку в память другого процесса, была разработана исследователем из израильской компании Deep Instinct Томом Ниправски. Специалист рассказал об итогах исследования на конференции Black Hat.
Способ, который разработал Ниправски, могут применять хакерские группы, которые занимаются кибершпионажем, поскольку они смогут заразить систему вредоносной программой так, что антивирусы не заметят этого.
Новая методика дает возможность скрыть вредоносный код в файле с легитимной цифровой подписью. Ее наличие имеет решающее значение, так как является гарантией подлинности файла.
Сведения о цифровом сертификате находятся в заголовке файла в поле таблицы атрибутов сертификата, которая не учитывается при подсчете хеш-суммы файла. Как утверждает Ниправски, сведения о цифровом сертификате добавляются после компиляции файла.
В Windows внедрена технология Microsoft Authenticode, с помощью которой проверяется подлинность программного обеспечения, однако ошибка в дизайне влечет за собой некорректную работу инструмента. Он осуществляет проверку лишь двух значений размера файла в его заголовке, которые могут быть модифицированы хакером без нарушения цифровой подписи, но не третье значение, являющееся неизменяемым.
Когда модифицированный файл начинает выполняться, загрузка в системную память вредоносного кода, внедренного в таблицу атрибутов сертификатов, не производится, так как он находится в заголовке, а не в теле файла.
Таким образом, таблица атрибутов сертификатов позволяет вредоносному файлу избежать обнаружения антивируснами. Это, например, дает хакерам возможность добавлять вредоносный код в системные файлы Windows и Microsoft Office.