الباحث يخفي البرمجيات الخبيثة الخفية داخل الملفات الشرعية الموقعة رقميا

تقنية جديدة تسمح للمهاجمين بإخفاء الكود الخبيث داخل الملفات الموقعة رقميا دون كسر توقيعاتهم ثم تحميل ذلك الرمز مباشرة في ذاكرة عملية أخرى.

طريقة الهجوم ، التي طورها توم Nipravsky ، وهو باحث في شركة الأمن السيبراني Deep Instinct ، قد يثبت أنه أداة قيّمة للمجرمين وجماعات التجسس في المستقبل ، مما يسمح لهم بالحصول على برامج ضارة من خلال ماسحات مكافحة الفيروسات وغيرها من المنتجات الأمنية.

أول جزء من أبحاث Nipravsky ، الذي تم تقديمه في مؤتمر Black Hat للأمن في لاس فيغاس هذا الأسبوع ، له علاقة بإخفاء الملفات - p من إخفاء البيانات داخل ملف شرعي.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

بينما قام مؤلفو البرامج الضارة بإخفاء الكودات الخبيثة أو بيانات تكوين البرامج الضارة داخل الصور في الماضي ، تبرز تقنية Nipravsky لأن يسمح لهم القيام بنفس الشيء مع الملفات الموقعة رقميا. وهذا أمر مهم لأن الهدف الأساسي من توقيع الملف رقمياً هو ضمان أنه يأتي من مطور معين ولم يتم تعديله في الطريق.

إذا تم توقيع ملف قابل للتنفيذ ، يتم تخزين معلومات حول توقيعه في رأسه ، داخل حقل يسمى جدول شهادة السمة (ACT) الذي يتم استبعاده عند حساب تجزئة الملف - سلسلة فريدة تعمل بمثابة تمثيل تشفير لمحتوياته.

هذا منطقي لأن معلومات الشهادة الرقمية ليست جزءًا من النسخة الأصلية الملف في الوقت الذي وقعت فيه. تتم إضافته لاحقًا للتأكيد على أن الملف تم تكوينه كما هو محدد من قِبل منشئه ولديه تجزئة معينة.

ومع ذلك ، فهذا يعني أنه يمكن للمهاجمين إضافة بيانات ، بما في ذلك ملف كامل آخر داخل الحقل ACT ، دون تغيير تجزئة الملف و كسر التوقيع. ستقوم هذه الإضافة بتعديل حجم الملف الكلي على القرص ، والذي يتضمن حقول الرأس الخاصة به ، ويتم تحديد حجم الملف هذا بواسطة تقنية Authenticode في Microsoft عند التحقق من صحة توقيع الملف.

ومع ذلك ، يتم تحديد حجم الملف في ثلاثة أماكن مختلفة داخل يمكن تعديل رأس الملف واثنين من هذه القيم من قبل المهاجم دون كسر التوقيع. المشكلة هي أن Authenticode يتحقق من إدخالات حجم الملف القابلة للتعديل اثنين ولا يتحقق من واحد ثالث.

وفقا ل Nipravsky ، وهذا هو عيب منطق التصميم في Authenticode. وقال إنه إذا كانت التقنية قد فحصت قيمة حجم الملف الثالث غير القابل للتحرير ، فلن يتمكن المهاجمون من إزالة هذه الخدعة ، وسيبقى توقيع الملف صحيحًا.

لم يتم تحميل البيانات الضارة المضافة إلى ACT في الذاكرة عندما يتم تنفيذ الملف المعدل نفسه لأنه جزء من الرأس ، وليس نص الملف. ومع ذلك ، يمكن لـ ACT أن يكون بمثابة مكان للاختباء لتمرير ملف ضار لم يتم كشفه في الماضي ضد الفيروسات.

على سبيل المثال ، يمكن للمهاجمين إضافة تعليمة برمجية ضارة إلى أحد ملفات نظام Windows الموقعة بواسطة Microsoft أو إلى ملف Microsoft Office. ستظل توقيعاتهم صالحة وتعمل الملفات.

علاوة على ذلك ، فإن معظم تطبيقات الأمان تعمل على إضافة هذه الملفات إلى القائمة البيضاء لأنها موقّعة من قِبل الناشر الموثوق به من Microsoft لتجنب الكشف الإيجابي الكاذب الذي قد يؤدي إلى حذف الملفات الهامة وتحطيم النظام.

الجزء الثاني من أبحاث Nipravsky كان تطوير طريقة تخفي لتحميل الملفات التنفيذية الخبيثة المخبأة داخل الملفات الموقعة دون أن يتم الكشف عنها. قام بإجراء هندسة عكسية لعملية كاملة وراء ستارة يقوم Windows بتنفيذها عند تحميل ملفات PE إلى الذاكرة. لا يتم توثيق هذا الإجراء بشكل عام لأن المطورين لا يحتاجون عادة إلى القيام بذلك بأنفسهم ؛ يعتمدون على نظام التشغيل لتنفيذ الملف.

استغرق الأمر أربعة أشهر من العمل لمدة ثماني ساعات في اليوم ، ولكن جهود الهندسة العكسية لـ Nipravsky سمحت له بإنشاء ما يسمى بـ PE لودر عاكس: تطبيق يمكنه تحميل الملفات التنفيذية المحمولة مباشرة في ذاكرة النظام دون ترك أي آثار على القرص. لأن المُحمل يستخدم العملية الدقيقة التي يقوم بها Windows ، فإنه من الصعب على حلول الأمان أن تكشف عن سلوكه على أنه مشبوه.

يمكن استخدام محمل Nipravsky كجزء من سلسلة هجومية مخفية ، حيث يستغل تنزيل التنزيل من خلال محرك أقراص خبيث في الذاكرة. تقوم العملية بعد ذلك بتنزيل ملف موقّع رقمياً برمز خبيث في ACT الخاص به من أحد الخوادم ثم تقوم بتحميل ذلك الرمز مباشرة في الذاكرة.

ليس لدى الباحث أية نية لإطلاق محمله بشكل علني بسبب احتمال استخدامه للإساءة. ومع ذلك ، يمكن للقراصنة المهرة إنشاء محملهم الخاص إذا كانوا راغبين في بذل نفس الجهد.

اختبر الباحث محمله PE العاكس ضد منتجات مكافحة الفيروسات وتمكن من تنفيذ برامج ضارة قد تكون تلك المنتجات قد اكتشفها بطريقة أخرى.

In عرضًا توضيحيًا ، أخذ برنامجًا للفدية كان أحد منتجات مكافحة الفيروسات يتم اكتشافه وحجبه بشكل طبيعي ، وأضافه إلى ACT من ملف موقّع رقميًا ، ونفذه باستخدام محمل PE العاكس.

اكتشف منتج مكافحة الفيروسات فقط ملف نص الفدية الذي تم إنشاؤه من قبل برنامج رانسومواري بعد أن تم بالفعل تشفير كافة ملفات المستخدم. وبعبارة أخرى ، بعد فوات الأوان.

حتى لو لم يكن لدى المهاجمين محمل PE عاكس Nipravsky ، لا يزال بإمكانهم استخدام تقنية إخفاء المعلومات لإخفاء بيانات تكوين البرامج الضارة داخل الملفات الشرعية أو حتى لتصفية البيانات المسروقة من المنظمات. من المرجح أن تمر البيانات المخبأة داخل ملف موقّع رقمياً بنظم فحص حركة المرور على مستوى الشبكة دون مشاكل.