هاكرز يخدعون ويندوز: طريقة جديدة لجعل الفيروسات غير قابلة للكشف!
لقد أنشأ المهاجمون توقيعات رمز متشوهية يتم التعامل معها على أنها صالحة من قبل Windows ولكن لا يمكن فك تشفيرها أو فحصها بواسطة رمز OpenSSL - الذي يتم استخدامه في عدد من منتجات المسح الأمنية" ، Neel Mehta من Google Group قال في الكتابة المنشورة يوم الخميس.
متابعات-ميكسي نيوز
OpenSupdater…..كشف باحثو الأمن السيبراني عن تقنية جديدة اعتمدها ممثل تهديد للتهرب عن عمد بمساعدة التوقيعات الرقمية المشوهة لحمولة البرامج الضارة.
“لقد أنشأ المهاجمون توقيعات رمز متشوهية يتم التعامل معها على أنها صالحة من قبل Windows ولكن لا يمكن فك تشفيرها أو فحصها بواسطة رمز OpenSSL – الذي يتم استخدامه في عدد من منتجات المسح الأمنية” ، Neel Mehta من Google Group قال في الكتابة المنشورة يوم الخميس.
لوحظ أن الآلية الجديدة تستغلها عائلة سيئة السمعة من البرامج غير المرغوب فيها المعروفة باسم OpenSupdater يتم استخدامه لتنزيل وتثبيت برامج مشبوهة أخرى على الأنظمة المعرضة للخطر.
معظم أهداف الحملة هي المستخدمين الموجودين في الولايات المتحدة المعرضين لتنزيل إصدارات متشققة من الألعاب وبرامج منطقة الرمادي الأخرى.
النتائج تأتي من مجموعة من OpenSupdater عينات تم الرفع إلى virustotal على الأقل منذ منتصف أغسطس.
على الرغم من أن الخصوم في الماضي اعتمدوا على شهادات رقمية تم الحصول عليها بشكل غير قانوني لتسلل البرامج الإعلانية وغيرها من أدوات الكشف عن البرامج الخبيثة غير المرغوب فيها أو عن طريق تضمين رمز الهجوم في مكونات البرمجيات الموثوقة رقميًا من خلال تسمم سلسلة إمداد البرمجيات ، فإن OpenSupdater تبرز لاستخدامها المتعمد لتوقيع مشوه من خلال.
يتم توقيع القطع الأثرية مع ورقة غير صالحة شهادة X.509 تم تحريره بطريقة تجعل عنصر “المعلمات” في SignaturealGorithm تضمن الحقل علامة نهاية المحتوى (EOC) بدلاً من علامة فارغة.
على الرغم من أن هذه الترميزات يتم رفضها على أنها غير صالحة من قبل المنتجات التي تستخدم OpenSSL لاسترداد معلومات التوقيع ، فإن الشيكات على أنظمة Windows ستسمح بتشغيل الملف دون أي تحذيرات أمان.
وقال ميهتا: “هذه هي المرة الأولى التي يلاحظ فيها العلامة الجهات الفاعلة التي تستخدم هذه التقنية للتهرب من الكشف مع الحفاظ على توقيع رقمي صالح على ملفات PE”.
“توفر توقيعات التعليمات البرمجية على Windows Executables ضمانات حول سلامة قابلة للتنفيذ موقّع ، وكذلك معلومات حول هوية الموقّع.
يمكن للمهاجمين الذين يمكنهم حجب هويتهم في التوقيعات دون التأثير على سلامة التوقيع ، يمكن أن يتجنب الكشف لفترة أطول وتوسيع نطاق شهاداتهم المدونة لتصحيح المزيد من الأنظمة.”
