Malware en ejecutables firmados digitalmente puede evadir protección de AV

Share this…

Los investigadores han demostrado que es posible ocultar código malicioso en archivos ejecutables firmados digitalmente sin invalidar el certificado y ejecutar todo el código sin alertar a las soluciones AV.

Tom Nipravsky, de Deep Instinct con sede en Tel Aviv, presentó los resultados de su investigación en el Black Hat USA 2016, pero no dio a conocer el código de la Prueba de Concepto (PoC), ya que sería demasiado peligroso.
Digitally signed executables - the original, and the one with malicious content embedded - both with valid signatures
La inyección de malware en ejecutables firmados digitalmente.
Para llevar a cabo un ataque con éxito, los investigadores de Deep Instinct tuvieron para crear dos archivos ejecutables portables (PE): uno malintencionado que oculta el malware dentro de sí mismo y uno benigno que se ejecutará de la memoria.
“Windows está utilizando Authenticode con el fin de determinar el origen y la integridad de los binarios de software; este se basa en estándares de criptografía de clave pública (PCKS) #7, mientras que el uso de certificados X.509 v3 sirve para unirse a un binario Authenticode-firmado con la identidad del editor de software,” explicaron.
“Con el fin de validar la integridad del archivo y asegúrese de que no ha sido manipulado, se calcula el hash (excluyendo 3 campos – Checksum, la entrada IMAGE_DIRECTORY_ENTRY_SECURITY en el DataDirectory, y el propio certificado de atributos de la tabla) y se compara el resultado contra el hash mencionado en la estructura SignedData en PKCS #7 (si los dos son diferentes, el código ha sido modificado y la firma digital se convierte en no válida)”.
El hecho de que Windows excluya estos tres campos de los cálculos de hash permitió a los investigadores inyectar código malicioso en la tabla de certificado y modificar el resto de los campos sin invalidar el certificado.
“Todas las soluciones de seguridad que hemos comprobado no reconoce el archivo como uno malintencionado, incluso cuando el archivo malicioso no se ha cifrado. Desde que el malware es incrustado no es parte del proceso de ejecución, esas soluciones no identificaron el contenido malicioso, incluso después de la ejecución del archivo firmado”, anotaron.
La creación de un ejecutable benigno era más difícil, ya que primero se tenían que investigar cómo Windows realiza PEs, pero finalmente fue un éxito relativo: se creó un cargador reflectante funcional de PE que ejecuta archivos PE directamente desde la memoria sin dejar marcas o cualquier rastro de la acción sobre los procesos de disco o procesos en ejecución, pero con algunas limitaciones.
“Los desarrolladores de malware y hackers están en constante búsqueda de técnicas avanzadas para eludir las soluciones de seguridad dirigiéndose lejos de la estructura clásica de los empacadores en el que todo se encuentra en un archivo. Esto incluye la búsqueda de maneras que no son dependientes entre sí y conectarlos”, anotaron.
Ellos creen que este certificado de evasión es una técnica válida que puede ser fácilmente adoptada por los autores de malware.
Fuente:https://www.seguridad.unam.mx/