پنهان کردن بدافزار درون پرونده‌های قابل‌اجرای امضا شده

مجرمان بدون شکستن امضا، می‌توانند بدافزار را درون یک پرونده قابل‌اجرای امضا شده قرار دهند، تا بدین ترتیب مانع شناسایی توسط ضدویروس‌ها ‌شوند.

در مقاله‌ای که در کنفرانس ۲۰۱۶ Black Hat در آمریکا ارائه شد، محققان Deep Instinct اطلاع دادند که بدون آسیب به اجرای PE معمول، می‌توان پرونده مخرب قابل اجرایی را درون یک پرونده دیگر مخفی کرد (اصولاً بدون رمزنگاری بخش‌های مهم پرونده).

نویسندگان بدافزارها دائماً به دنبال راه‌هایی برای فرار از شناسایی شدن و راه‌حل‌های جلوگیری هستند و به‌طور مرتب از بسته‌بندی‌ها و روش‌های رمزنگاری استفاده می‌کنند، زیرا راه‌حل‌های امنیتی تنها در صورتی مؤثر و کارآمد هستند که بتوانند محتوای مخرب رمزنگاری‌شده یا فشرده‌شده را باز کنند. پرونده‌های رمزنگاری‌شده و بسته‌بندی‌شده  هم روی دیسک و هم هنگام اجرا شناسایی می‌شوند، اما محققان می‌گویند که این روش کشف‌شده جدید مانع شناسایی پرونده‌های مخرب می‌شود.

برنامه‌های بسته‌بندی کننده و فشرده کننده برای کاهش اندازه پرونده‌ها ساخته شده‌اند، البته می‌توانند مهندسی معکوس پرونده‌های قابل‌اجرا را نیز مشکل‌تر ‌کنند. اگرچه این برنامه‌ها برای استفاده‌های خوب ساخته‌ شده‌اند اما خیلی سریع به ابزاری برای سازندگان بدافزارها تبدیل شدند و محققان تخمین می‌زنند که تا ۸۰ درصد بدافزارها با روش‌های فشرده‌کننده و بسته‌بندی‌کننده همراه هستند.

اگرچه بیشتر افراد از روش‌های بسته‌بندی معروف و شناخته‌شده‌ای استفاده می‌کنند که بازکننده‌هایی  هم دارند که راه‌حل‌های امنیتی ممکن است پیش از پویش پرونده‌ها از آن‌ها استفاده کنند، اما طراحان برنامه‌های مخربی هم هستند که از روش‌های بسته‌بندی استفاده می‌کنند که برای شرکت‌های امنیتی ناشناخته هستند.

برای تعیین مکان و اندازه جدول گواهی‌ ویژگی ، ویندوز اعضای VirtualAddress و Size  را در IMAGE_DATA_DIRECTORY می‌خواند. محققان در مقاله خود گفتند که اندازه در ابتدای این جدول نیز آورده شده است. علاوه بر این، ویندوز از Authenticode برای بررسی مبدأ و صحت دوتایی‌های نرم‌افزار و از گواهی‌نامه‌های X.۵۰۹ v۳ برای اتصال یک دوتایی Authenticode امضا شده برای شناسایی منتشرکننده نرم‌افزار استفاده می‌کند.

برای بررسی صحت پرونده و اطمینان از اینکه مورد سوءاستفاده قرار نخواهد گرفت، ویندوز همچنین درهم‌سازیش را محاسبه می‌کند و با درهم‌سازی ذکرشده در ساختار SignedData مقایسه می‌کند. اما محققان متوجه شدند که کد می‌تواند بدون هیچ هشداری در مورد اعتبار گواهی‌نامه، تزریق شود چرا که ویندوز سه بخش را از محاسبه درهم‌سازی مستثنا می‌کند که ورودی Checksum، IMAGE_DIRECTORY_ENTRY_SECURITY در DataDirectory و خود جدول گواهی‌نامه نام دارند.

محققان می‌گویند: «چون ویندوز سه بخش ذکرشده در بالا را در محاسبات درهم‌سازی لحاظ نمی‌کند، می‌توانیم اطلاعات را به جدول گواهی‌نامه تزریق کنیم بدون اینکه به اعتبار و صحت گواهی‌نامه پرونده آسیبی وارد شود. با افزودن محتوای مخرب به پایان جدول گواهی‌نامه و تغییر بخش‌های مربوط (اندازه (هم در [DataDirectory[IMAGE_DIRECTORY_ENTRY_SECURITY و هم در (WIN_CERTIFICATE) و CheckSum)، بدون آسیب به اعتبار و صحت گواهی‌نامه، می‌توانیم پرونده را تغییر دهیم».

طبق گفته محققان این روش تزریق باعث می‌شود پرونده مخرب حتی اگر رمزنگاری ‌شده باشد از تأییدیه ضدویروس بگذرد. بدافزار بخشی از این فرایند اجرا نیست. این فرآیند از شناسایی بدافزار توسط نرم‌افزارهای ضدویروس جلوگیری می‌کند، حتی وقتی‌که پرونده تائید شده اجرا می‌شود. محققان در ادامه گفتند: « بدین ترتیب می‌توانیم  محتوای مخرب را  بدون این‌که شناسایی شود در تمامی پرونده‌‌های سیستمی ویندوز پنهان کنیم »

محققان Deep Instinct همچنین توانستند یک بارگذار Reflective PE ایجاد کنند که پرونده‌های PE را مستقیماً از حافظه اجرا می‌کند زیرا آن‌ها نمی‌توانستند کد را از بخش گواهی‌نامه اجرا کنند. علاوه براین آن‌ها همچنین نشان دادند که چگونه محققان دیگر می‌توانند فرایند اجرای PE را روی سامانه خودشان اجرا کنند. اگرچه POC آن‌ها هنوز محدودیت‌هایی دارد مثلاً روی سامانه‌های ۶۴ بیتی اجرا نمی‌شود، ارسال DLL را پشتیبانی نمی‌کند و هنگام بستن بار داده PE فرایند HOST نیز بسته می‌شود چرا که از ExitProcess استفاده می‌کند.

محققان در پایان نتیجه گرفتند: «طراحان بدافزارها و نفوذگران با فاصله گرفتن از ساختار قدیمی برنامه‌های بسته‌بندی که همه موارد را درون یک پرونده قرار می‌دهند، دائماً به دنبال راه‌های توسعه‌یافته هستند تا بتوانند راه‌حل‌های امنیتی را دور بزنند. با پی بردن به طرز فکر مهاجمان، صنعت امنیت می‌تواند حملات و حفره‌ها را بهتر شناسایی کند و بنابراین حفاظت مؤثرتری ارائه دهد».

منبع: asis

        درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.