-
añadir a favoritos
Sobre manipulaciones de firmas
lunes, 22 de enero de 2018
Varios investigadores intentan esquivar la protección antivirus todos los días. Y hacen bien: cualquier antivirus debe ser óptimo, aunque no es posible que sea completamente invulnerable. Un software vulnerable no puede afrontar los programas nocivos.
Un investigador de la empresa israelí Deep Instinct, Tom Nipravsky, desarrolló un nuevo método que permite implementar el código nocivo en los archivos con la firma digital legítima sin dañar la firma y cargarlos en la memoria de otro proceso. Los resultados de la investigación fueron presentados por el experto en la conferencia de seguridad Black Hat.
El método desarrollado por Nipravsky puede ser una herramienta útil para los malintencionados o grupos de hackers que se especializan en ciberespionaje, porque les permitirá infectar el sistema con un software nocivo sin que las soluciones antivirus lo noten.
El problema es que la hay que guardar la firma del archivo en algún sitio. La tecnología de verificación de autenticidad de software Microsoft Authenticode realizada en el SO Windows guarda la información en el encabezado del archivo, en el campo Tablas de atributos del certificado (ACT) que no se toma en consideración en la suma de comprobación del archivo, porque la información se guarda en la misma ya una vez calculada la suma. Y es aquí donde un malintencionado puede colocar los datos necesarios.
#firma_digital #seguridad #tecnologíasEl mundo de antivirus recomienda
En caso de soluciones antivirus Dr.Web, en los archivos firmados hay sitios no controlados por la firma del archivo. Para el sistema de protección Dr.Web se considera que no vale la pena confiar en la firma del archivo. En particular, porque se conocen muchos casos de firma de archivos por los malintencionados.
BackDoor.Dande, destinado para robar la información de las aplicaciones usadas por farmacias y empresas farmacéuticas, infectó los equipos de unas 400 farmacias de las regiones sur de Rusia.
Los troyanos de la familia BackDoor.Dande infectan los equipos en Microsoft Windows. La primera versión de este programa nocivo fue destinado a robar información de varios “sistemas de pedido electrónico” usados en la industria farmacéutica. La versión actualizada de BackDoor.Dande, llamada BackDoor.Dande.2, está destinada para recabar los datos solo de una aplicación producida por la empresa “Tecnologías informáticas”.
BackDoor.Dande.2 consiste en dos controladores, así mismo, ambos tienen firma digital registrada a nombre de SPВ Group, S.L.
http://news.drweb.com/show/?c=5&i=4349&lng=ru
Los controladores que Trojan.Stuxnet instala en el sistema, disponen de firmas digitales robadas a productores de software legal. En julio apareció la información sobre el uso de las firmas pertenecientes a las empresas Realtek Semiconductor Corp. y JMicron Technology Corp.
Aunque a veces se confirma que existen posibilidades similares de “engañar” a os programas antivirus, podemos sacar la siguiente conclusión: no vale la pena confiar en los sistemas de protección basados solo en la integridad de archivos a base de sus sumas de comprobación y firmas.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
razgen
00:09:54 2018-09-10
vasvet
08:07:33 2018-08-13