Malware podpisany przez Microsoft? Trojan Zloader omija podpisy cyfrowe

Malware podpisany przez Microsoft? Trojan Zloader omija podpisy cyfrowe06.01.2022 00:14
Trojan Zloader omija podpisy cyfrowe
Źródło zdjęć: © PxHere

Check Point Research informuje o złośliwym oprogramowaniu obecnym w plikach noszących podpis cyfrowy Microsoftu. Trojan bankowy Zloader wykorzystuje jako jeden z etapów infekcji zmodyfikowaną bibliotekę DLL Narzędzia do Rozwiązywania Problemów Windows. Microsoft nie podpisał jednak trojana. Nikt także nie wykradł z Redmond podpisu. Zatem jak to możliwe?

Podpisywanie plików wykonywalnych w Windows to podstawowa metoda weryfikacji autentyczności i bezpieczeństwa programu. Podpis cyfrowy jest dołączany do końca pliku i pokrywa większość kodu wykonywalnego pliku PE, choć można podpisywać także inne pliki, nie tylko EXE. Podpisy są sprzężone z systemową bazą zaufanych certyfikatów i podlegają konfiguracji za pomocą Usług Kryptograficznych Windows.

Ostatnimi czasy okazało się jednak, że istnieje wiele sposobów, na które można oszukać mechanizm podpisów. Bez konieczności kradzieży części prywatnej certyfikatu, co pozwalałoby na podpisywanie dowolnych plików w cudzym imieniu.

Bardzo wyrozumiała weryfikacja

Sposoby te to oczywiście rezultaty błędów, dziur i słabości w implementacji mechanizmu podpisów w Windows. Microsoft wielokrotnie łatał usługi kryptograficzne dla podpisów plików, dzięki czemu czasami likwidował poważne słabości i wprowadzał bokiem sporo zamieszania. Na przykład, łata na podatność CVE-2020-1599 wprowadziła ochronę przed bezkarnym "dopisywaniem" złośliwych treści do podpisanego pliku bez jego unieważniania, ale jest ona włączona tylko w ograniczonym stopniu.

Windows twierdzi, że instalator Google Chrome jest groźny. Sprawdzamy powody

Dzieje się tak ze względu (między innymi) na inną podatność, CVE-2020-1464, która po naprawie doprowadziła do oznaczania oficjalnego instalatora Google Chrome jako pliku ze sfałszowanym podpisem. Microsoft już osiem lat temu, przy okazji CVE-2013-3900, wiedział, że naprawa nadmiernie liberalnej weryfikacji podpisów doprowadzi do problemów.

To przykra cena zgodności z 20-letnim rozwiązaniem. Windows 2000, wprowadzający przystępny mechanizm podpisów na desktop, obfitował w wiele genialnych i sprytnych pomysłów z zakresu bezpieczeństwa. Okazało się jednak, że niemała ich część była zaimplementowana bez odporności na przyszłych cyberprzestępców.

VBS i HTA

Opisany przez Check Point Research trojan Zloader jest stworzony przez kogoś, kto wyciągnął lekcje z łatanych podatności, odkrył częściowo jedynie włączone zabezpieczenia i poświęcił czas na wymyślenie metody nadużycia mechanizmu podpisów. W jaki sposób to osiągnięto? Ależ oczywiście znowu dzięki środowisku Visual Basic Script oraz formatowi HTA. Jakżeby inaczej.

Działa to następująco: podpis cyfrowy pokrywa sekcje kodu w pliku DLL, więc nie da się wstrzyknąć złośliwego kodu bez unieważnienia podpisu. Ale można wstrzyknąć dodatkowe dane w sam podpis - jako dodatkową sekcję. Nie da się już dopisywać danych za podpisem (to właśnie robił Google), ale sam podpis jest na tyle elastyczny, że można dorzucić do niego śmieci, bez naruszenia jego struktury.

Windows 10: Producenci sprzętu stracą możliwość podpisywania sterowników

Zloader wykorzystuje plik DLL podpisany przez Microsoft. Podpis jest poprawny, a kod, który pokrywa, jest bezpieczny i faktycznie pochodzi z Redmond. Jednakże w sekcji przeznaczonej na podpis jest trochę "luzu". Wystarczy go na tyle, by umieścić tam... skrypt w języku Visual Basic.

VBS i MSHTA okazują się być niezwykle wyrozumiałe. Wykonanie "skryptu", w którym 98 proc. treści to binarny kod wykonywalny, a dopiero 2 proc. na końcu to skrypt, który ma jakiś sens, jest możliwe. VBS potraktuje po prostu całą resztę pliku jako "błąd składni" i wykona tylko część, którą rozumie. Oprogramowanie antywirusowe zwróci uwagę na to, że w systemie działa WSH (interpreter Visual Basica, coraz częściej jest to dowód na złośliwe działanie), ale zobaczy, że zajmuje się on plikiem "z Microsoftu", więc odwoła alarm.

Nie do naprawy

Ta fantastyczna sztuczka została już załatana przez Microsoft, ale poprawkę trzeba... włączyć. Microsoft opisał ją w notatce KB2915720. Oprogramowanie antywirusowe nigdy nie osiągnie wyrafinowania umożliwiającego wykrycie aż tak złożonych nadużyć. Wreszcie, narzędzia do analizy integralności nie mogą się opierać tylko na podpisie cyfrowym. Konieczne jest także sprawdzanie sum kontrolnych.

Malware w praktyce niewykrywalne: wiele można ukryć w podpisanych plikach Windowsa

Malware wykorzystujący słabości podpisów plików wykonywalnych będzie coraz popularniejszy. I będzie to dotyczyć nie tylko trików jak ten wyżej, ale także plików podpisanych przez Microsoft przez przeoczenie. Takich "niewytłumaczalnych" plików było już w 2021 roku kilkanaście.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na