Alattomos vírusterjesztés - az aláírás sem garancia

A Microsoft és a VirusTotal szakemberei együtt dolgoznak azon, hogy elejét vegyék a látszólag teljesen legális, de a valóságban fertőzött telepítőprogramok terjedésének.
 

Már eddig is sokszor merült fel problémaként, hogy a vírusterjesztők legális programoknak álcázzak a szerzeményeiket, és ezáltal nem kizárólag a felhasználókat, hanem a víruskeresőket is igyekeznek megtéveszteni. Ilyen esetekben előfordul, hogy digitálisan aláírt fájlokkal történnek visszaélések: ha például egy telepítőprogram rendelkezik érvényes aláírással, akkor azokkal nem minden víruskereső foglalkozik mélyrehatóan. Így a vírusterjesztők nagyobb valószínűséggel tudják átjuttatni a károkozóikat a védelmi vonalakon, majd hamis biztonságérzetet ébresztenek a felhasználókban.
 
Az ilyen jellegű trükközésekre a gyakran használt, MSI-formátumú fájlok is lehetőséget adnak némi Javával megspékelve. A gondot az okozza, hogy az MSI fájlok bizonyos módszerek alkalmazásával elláthatók olyan digitális aláírásokkal, amik - ellentétben az eredeti célokkal - nem adnak pontos képet arról, hogy egy fájlt valaki kompromittált-e. Vagyis aláírás alapján nem lehet teljes bizonyossággal kijelenteni egy MSI-állományról, ha abba nem került nemkívánatos kód.
 
A trükkről a Microsoft annyit közölt, hogy JAR-fájlok kíséretében válhat kivitelezhetővé, méghozzá olyan módon, hogy egy MSI-állomány végéhez egy JAR fájlt kell hozzáfűzni, és az MSI kiterjesztést JAR-ra cserélni. Ha a felhasználó elindítja a fájlt, akkor telepített Java esetén az alapértelmezett beállítások miatt rögtön betöltődik a javaw.exe, ami a kompromittált MSI-fájlt elkezdi kiolvasni. Mivel a JAR bizonyos szempontból egy ZIP-állomány, ezért ennek megfelelő struktúrával rendelkezik. Amikor a Java erre alkalmas összetevője megkezdi a fájl feldolgozását, akkor a végéről halad előre felé. A ZIP-struktúra elején megáll, és nem törődik az MSI-fájl többi részével. Ennyi azonban bőven elég a támadóknak, hiszen kódot tudnak futtatni.
 
A Microsoft jelezte, hogy a Sigcheck 2.70-es kiadása már képes felismerni az ilyen típusú manipulációkat: riasztást küld, és hibás fájlméret megjelölést alkalmaz. A VirusTotal pedig beépítette a Sigcheck legújabb verzióját a rendszerébe, így a szolgáltatásba feltöltött fájlokat már azzal ellenőrzi.


Forrás: VirusTotal
 
Nem éppen jó hír, hogy a Microsoft úgy döntött, hogy a Windows jelenleg elérhető kiadásait egyelőre nem módosítja az MSI/JAR-probléma kapcsán. Annak ellenére sem, hogy a vizsgálatok kimutatták, hogy ezek a kompromittált állományok érvényesként mutatkoznak még a legújabb Windows 10 operációs rendszer alatt is.
Vélemények
 
  1. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

  2. 4

    A Microsoft egy nulladik napi sérülékenységről számolt be az Internet Explorer kapcsán.

  3. 1

    A Coonrac trójai kizárólag addig van jelen egy fertőzött számítógépen, amíg arról a terjesztői számára fontos adatokat ki nem szivárogtatja.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1