Alattomos vírusterjesztés - az aláírás sem garancia

A Microsoft és a VirusTotal szakemberei együtt dolgoznak azon, hogy elejét vegyék a látszólag teljesen legális, de a valóságban fertőzött telepítőprogramok terjedésének.
 
hirdetés

Már eddig is sokszor merült fel problémaként, hogy a vírusterjesztők legális programoknak álcázzak a szerzeményeiket, és ezáltal nem kizárólag a felhasználókat, hanem a víruskeresőket is igyekeznek megtéveszteni. Ilyen esetekben előfordul, hogy digitálisan aláírt fájlokkal történnek visszaélések: ha például egy telepítőprogram rendelkezik érvényes aláírással, akkor azokkal nem minden víruskereső foglalkozik mélyrehatóan. Így a vírusterjesztők nagyobb valószínűséggel tudják átjuttatni a károkozóikat a védelmi vonalakon, majd hamis biztonságérzetet ébresztenek a felhasználókban.
 
Az ilyen jellegű trükközésekre a gyakran használt, MSI-formátumú fájlok is lehetőséget adnak némi Javával megspékelve. A gondot az okozza, hogy az MSI fájlok bizonyos módszerek alkalmazásával elláthatók olyan digitális aláírásokkal, amik - ellentétben az eredeti célokkal - nem adnak pontos képet arról, hogy egy fájlt valaki kompromittált-e. Vagyis aláírás alapján nem lehet teljes bizonyossággal kijelenteni egy MSI-állományról, ha abba nem került nemkívánatos kód.
 
A trükkről a Microsoft annyit közölt, hogy JAR-fájlok kíséretében válhat kivitelezhetővé, méghozzá olyan módon, hogy egy MSI-állomány végéhez egy JAR fájlt kell hozzáfűzni, és az MSI kiterjesztést JAR-ra cserélni. Ha a felhasználó elindítja a fájlt, akkor telepített Java esetén az alapértelmezett beállítások miatt rögtön betöltődik a javaw.exe, ami a kompromittált MSI-fájlt elkezdi kiolvasni. Mivel a JAR bizonyos szempontból egy ZIP-állomány, ezért ennek megfelelő struktúrával rendelkezik. Amikor a Java erre alkalmas összetevője megkezdi a fájl feldolgozását, akkor a végéről halad előre felé. A ZIP-struktúra elején megáll, és nem törődik az MSI-fájl többi részével. Ennyi azonban bőven elég a támadóknak, hiszen kódot tudnak futtatni.
 
A Microsoft jelezte, hogy a Sigcheck 2.70-es kiadása már képes felismerni az ilyen típusú manipulációkat: riasztást küld, és hibás fájlméret megjelölést alkalmaz. A VirusTotal pedig beépítette a Sigcheck legújabb verzióját a rendszerébe, így a szolgáltatásba feltöltött fájlokat már azzal ellenőrzi.


Forrás: VirusTotal
 
Nem éppen jó hír, hogy a Microsoft úgy döntött, hogy a Windows jelenleg elérhető kiadásait egyelőre nem módosítja az MSI/JAR-probléma kapcsán. Annak ellenére sem, hogy a vizsgálatok kimutatták, hogy ezek a kompromittált állományok érvényesként mutatkoznak még a legújabb Windows 10 operációs rendszer alatt is.
Vélemények
 
  1. 3

    A Lenovo Solution Center egy fontos biztonsági hibajavítást kapott.

  2. 3

    A McAfee Data Loss Prevention Endpoint for Windows alkalmazás két sebezhetőséget rejt.

  3. 2

    A Tepok trójai teljes mértékben használhatatlanná tudja tenni az általa megfertőzött számítógépeket.

 
Partnerhírek
​Dollármilliomosok lehetünk hibavadászattal

Komolyabb lett az Apple hibavadász programja, a fődíj immár a másfél millió dollárt is elérheti.

Amikor az alkalmazott a belső ellenség

Több mint öt éven keresztül az AT&T egyes munkatársai pénzt kaptak azért, hogy kártevőket és engedély nélküli hardvereket telepítsenek a vállalat belső hálózatába.

hirdetés
Közösség
1