-
09/04/2020
-
85
-
550 bài viết
Google cảnh báo về kỹ thuật mới giúp tin tặc giấu phần mềm độc hại mà Windows không thể phát hiện
Các nhà nghiên cứu an ninh mạng đã tiết lộ một kỹ thuật mới có thể giúp hacker không bị phát hiện với sự trợ giúp của các chữ ký điện tử không đúng định dạng trong các phần mềm độc hại.
"Những kẻ tấn công đã tạo ra các ký mã không đúng định dạng được Windows coi là hợp lệ nhưng không thể giải mã hoặc kiểm tra bằng mã OpenSSL - vốn được sử dụng trong một số sản phẩm quét bảo mật", Neel Mehta của Nhóm phân tích mối đe dọa của Google (TAG) cho biết trong một bài viết.
Kỹ thuật này đang được sử dụng để phát tán OpenSUpdater, dòng mã độc khét tiếng có khả năng tải xuống và cài đặt các chương trình đáng ngờ khác trên các hệ thống bị xâm nhập. Hầu hết mục tiêu của chiến dịch là người dùng ở Mỹ, những người có xu hướng tải xuống các phiên bản bẻ khóa trò chơi và các phần mềm không chính thống khác.
Kỹ thuật được phát hiện thông qua một tập hợp các mẫu OpenSUpdater được tải lên VirusTotal kể từ giữa tháng 8.
Trong đó, chữ ký trên các mẫu này đã được chỉnh sửa để thay thế NULL tag trong trường ‘parameters’ của SignatureAlgorithm ký chứng chỉ “leaf certificate” X.509 bằng EOC (End of Content – Kết thúc nội dung). Những chữ ký như vậy sẽ bị đánh dấu không hợp lệ bởi các sản phẩm an ninh sử dụng OpenSSL để truy xuất thông tin. Tuy nhiên, trên các hệ thống Windows, những thay đổi nhỏ này sẽ không tác động đến bước kiểm tra file chữ ký, dẫn đến tệp được cho phép chạy mà không có bất kỳ cảnh báo an ninh nào.
Mehta cho biết: “Đây là lần đầu tiên TAG quan sát thấy kẻ tấn công sử dụng kỹ thuật này để tránh bị phát hiện trong khi vẫn giữ được chữ ký điện tử hợp lệ trên các tệp PE”.
"Chữ ký mã trên tệp thực thi Windows giúp đảm bảo về tính toàn vẹn của tệp thực thi đã ký cũng như thông tin về danh tính của người ký. Những kẻ tấn công có thể che giấu danh tính của chúng trong chữ ký mà không ảnh hưởng đến tính toàn vẹn của chữ ký có thể tránh bị phát hiện lâu hơn và kéo dài thời gian tồn tại của các chứng chỉ ký mã để lây nhiễm sang nhiều hệ thống hơn”.
"Những kẻ tấn công đã tạo ra các ký mã không đúng định dạng được Windows coi là hợp lệ nhưng không thể giải mã hoặc kiểm tra bằng mã OpenSSL - vốn được sử dụng trong một số sản phẩm quét bảo mật", Neel Mehta của Nhóm phân tích mối đe dọa của Google (TAG) cho biết trong một bài viết.
Kỹ thuật này đang được sử dụng để phát tán OpenSUpdater, dòng mã độc khét tiếng có khả năng tải xuống và cài đặt các chương trình đáng ngờ khác trên các hệ thống bị xâm nhập. Hầu hết mục tiêu của chiến dịch là người dùng ở Mỹ, những người có xu hướng tải xuống các phiên bản bẻ khóa trò chơi và các phần mềm không chính thống khác.
Kỹ thuật được phát hiện thông qua một tập hợp các mẫu OpenSUpdater được tải lên VirusTotal kể từ giữa tháng 8.
Trong đó, chữ ký trên các mẫu này đã được chỉnh sửa để thay thế NULL tag trong trường ‘parameters’ của SignatureAlgorithm ký chứng chỉ “leaf certificate” X.509 bằng EOC (End of Content – Kết thúc nội dung). Những chữ ký như vậy sẽ bị đánh dấu không hợp lệ bởi các sản phẩm an ninh sử dụng OpenSSL để truy xuất thông tin. Tuy nhiên, trên các hệ thống Windows, những thay đổi nhỏ này sẽ không tác động đến bước kiểm tra file chữ ký, dẫn đến tệp được cho phép chạy mà không có bất kỳ cảnh báo an ninh nào.
Mehta cho biết: “Đây là lần đầu tiên TAG quan sát thấy kẻ tấn công sử dụng kỹ thuật này để tránh bị phát hiện trong khi vẫn giữ được chữ ký điện tử hợp lệ trên các tệp PE”.
"Chữ ký mã trên tệp thực thi Windows giúp đảm bảo về tính toàn vẹn của tệp thực thi đã ký cũng như thông tin về danh tính của người ký. Những kẻ tấn công có thể che giấu danh tính của chúng trong chữ ký mà không ảnh hưởng đến tính toàn vẹn của chữ ký có thể tránh bị phát hiện lâu hơn và kéo dài thời gian tồn tại của các chứng chỉ ký mã để lây nhiễm sang nhiều hệ thống hơn”.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: