-
Ajouter aux favoris
À propos des signatures frauduleuses
jeudi 18 août 2016
Les chercheurs investissent en permanence leurs efforts dans la recherche de moyens permettant de contourner la protection antivirus. Et il y a des raisons à cela : le logiciel antivirus doit tendre vers la perfection, même si l'invulnérabilité complète est impossible. Cependant, un logiciel ayant des vulnérabilités ne peut pas résister aux programmes malveillants.
Un chercheur de la société israélienne Deep Instinct, Tom Nipravsky, a mis au point une nouvelle méthode permettant d'injecter un code malveillant dans les fichiers ayant une signature numérique légitime sans violer la signature, et de télécharger ces fichiers dans la mémoire d'un autre processus. Les résultats de cette étude ont été présentés dans le cadre de la conférence Black Hat.
La méthode développée par Nipravsky peut devenir un outil précieux dans les mains de pirates pratiquant le cyber espionnage, car elle leur permettra d'infecter le système avec des logiciels malveillants à l'insu des solutions antivirus.
Le problème réside dans le fait que la signature d’un fichier doit être stockée quelque part. La technologie de vérification de l'authenticité des logiciels Microsoft Authenticode, tournant sous Windows, sauvegarde des informations dans l'en-tête du fichier dans le champ Tables d'attributs du certificat, or ce tableau n'est pas pris en compte par la somme de contrôle du fichier, puisque les informations y sont enregistrées après le calcul de la somme. Et c'est ici que les malfaiteurs peuvent placer des données.
Le projet Lumières sur la sécurité recommande
Les solutions antivirus Dr.Web vérifient tout le fichier, y compris son en-tête. La protection Dr.Web considère qu'il est imprudent de faire confiance aux signatures de fichiers. En particulier parce qu’il y a beaucoup de cas des signatures de fichier réalisées par des criminels.
BackDoor.Dande, conçu pour dérober des informations provenant d’applications utilisées par les pharmacies et les firmes pharmaceutiques, a infecté des ordinateurs dans 400 pharmacies environ, situées principalement dans les régions du sud de la Russie.
Les Trojans de la famille BackDoor.Dande contaminent des ordinateurs tournant sous Windows. La première version de ce logiciel malveillant a été conçue pour voler les informations de plusieurs systèmes de commandes électroniques utilisés dans l’industrie pharmaceutique, tels que le logiciel spécialisé " Analyt : Pharmacia " pour la plateforme 1C, le système de commandes électroniques SEZ-2 développé par la société "Apteka-Holding". Une version renouvelée du BackDoor.Dande, nommée BackDoor.Dande.2, est conçue pour voler des données de l'application "AIAS INPRO PHARM RYNOK" développée par la société "Informatsionnye téchnologuii".
BackDoor.Dande.2 comprend deux pilotes ayant chacun une signature numérique enregistrée au nom de la société SPB Group.
http://news.drweb.com/show/?c=5&i=4349&lng=ru
Les pilotes que le Trojan.Stuxnet installe dans le système sont équipés de signatures numériques volées à des fournisseurs de logiciels légitimes. Au mois de juillet, il s'est avéré que les signatures des sociétés Realtek Semiconductor Corp. et JMicron Technology Corp ont également été utilisées.
En dépit de diverses allégations selon lesquelles il existe des moyens analogues de contourner les logiciels antivirus, nous pouvons conclure : il n'est pas prudent de faire confiance à des systèmes de protection basés uniquement sur le mécanisme de contrôle de l'intégrité de fichiers selon leurs sommes de contrôle et leurs signatures.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 15 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
20:15:27 2018-08-23
razgen
22:49:31 2018-07-10