Malware Escondido em Executáveis Pode dar Bypass em Soluções Antivirus

De acordo com uma pesquisa realizada por profissionais altamente qualificados do Deep Instinct em Tel Aviv, foi mostrado que é perfeitamente possível esconder códigos maliciosos em arquivos executáveis ​​assinados digitalmente, sem invalidar o certificado, e executar este código - tudo isso dando um bypass em soluções AV. Nesse contexto, o pesquisador Tom Nipravsky, apresentou os resultados de suas pesquisas no Black Hat EUA 2016, mas não liberou o código PoC, pois seria muito perigoso. No que diz respeito a injeção de malwares em executáveis ​​assinados digitalmente, para realizar um ataque bem sucedido, os pesquisadores do Deep Instinct precisaram criar dois arquivos executáveis ​​portáteis (PE): um malicioso que irá esconder o malware em si, e um benigno, que irá executá-lo a partir da memória. Em meio a tudo isso, vale ressaltar que o Windows está usando Authenticode, a fim de determinar a origem e a integridade dos binários de software, sendo baseado em Public-Key Cryptography Standards (PCKS) #7; enquanto isso, o uso de certificados X.509 v3 está vinculado a um binário Authenticode-signed voltado para a identidade do um editor de software.


A fim de validar a integridade do arquivo e certificar-se de que ele não foi adulterado, é calculado o hash (excluindo 3 campos - soma de verificação, entrada IMAGE_DIRECTORY_ENTRY_SECURITY no DataDirectory e a "attribute certificate table"). Assim, é possível comparar o resultado contra o hash mencionado na estrutura SignedData em PKCS #7 (isto é, se os dois forem diferentes, o código foi alterado, e a assinatura digital torna-se inválida). Além do mais, o fato de que o Windows exclui os três campos a partir dos cálculos de hash permitiu que os pesquisadores pudessem injetar código malicioso na tabela de certificado e modificar o resto dos campos sem invalidar o mesmo.


Saiba Mais:

[1] Deep Instinct - Certificate Bypass https://www.blackhat.com/docs/us-16/...cutable-wp.pdf