Rilevazione AV di malware firmato

Naviga le tue risposte
10

Con le massicce perdite di Sony (tra cui loro chiavi private / certificato ), mi chiedevo:

In che modo i principali AV gestiscono i binari firmati? vale a dire:

Influisce sulla capacità di rilevamento del malware firmato? Se é cosi, come? Ad esempio:

  1. Controllano i CRL e ottengono i binari con i certificati revocati sotto esame più accurato?
  2. Controllano solo se il certificato era valido al momento della firma?
  3. Se 1 o 2 è valido (es. certificato non revocato o firma binaria quando era ancora valido), l'AV accetta ciecamente come legit anche se si tratta di un noto malware che ha già la firma nella maggior parte dei prodotti AV? / li>

Sembra che windows raramente controlli i CRL e potrebbe a volte essere complesso, scomodo e costoso per revocare un certificato se era ampiamente utilizzato per firmare binari legittimi in passato. Quindi, se lo fanno, ne vale la pena dal punto di vista AV?

Il punto di questa domanda è principalmente la valutazione di questa asserzione da questo articolo del 2012:

Malware authors are interested in signing installers and not just the drivers, because some antivirus solutions assume that digitally signed files are legitimate and don't scan them, said Bogdan Botezatu, a senior e-threat analyst at antivirus vendor BitDefender. "Additionally, signed modules are more likely to be included in whitelisting collections meaning, the chance of them being fully analyzed is lower and they remain undetected for longer period of times," Raiu said.

non ne so molto sulla firma del codice, quindi il problema potrebbe essere più sottile, grazie per avermi corretto ho posto le domande sbagliate :)

    
posta zX8iqV 15.12.2014 - 11:41
fonte

2 risposte

2

How do major AVs deal with signed binaries? ie:

Does it influence their detecting ability of the signed malware? If so, how? For example:

Do they check CRLs and get the binaries with revoked certificates under stronger scrutiny?
Do they only check if the certificate was valid at the time of signature?
If 1 or 2 is valid (ie certificate not revoked or binary signed when it was still valid), do the AV blindly accept as legit even if

it's a well-known malware that already has it signature among most AV products?

L'antivirus è un tipo speciale di applicazione e la risposta alla tua domanda è strongmente dipendente dall'implementazione. Non esiste un'implementazione standard per l'antivirus, ogni fornitore dispone di una propria serie di tecnologie di rilevamento (solitamente brevettate) e inoltre prende continuamente in prestito (reverse engineer) dai leader del settore. Discuterò solo i principali antivirus che conosco sulla piattaforma Windows.

Risposta breve alla tua domanda: Sì, la firma del codice influenza la maggior parte dei prodotti antivirus, in un modo o nell'altro.

Ad esempio, il firmatario "Microsoft Windows" e "Microsoft Windows Component Publisher" sono solitamente codificati nel motore di scansione. Ciò consente di risparmiare tempo di scansione ed evitare falsi positivi sui file di sistema (che di solito causano danni catastrofici). Alcuni motori di scansione mal implementati presentano un tasso di falsi positivi molto alto e fanno molto affidamento su elenchi bianchi e firme digitali, ma quelli dei principali fornitori di solito sono migliori.

Per i certificati rubati, il loro numero di serie o l'hash viene solitamente aggiunto al database del fornitore di antivirus, che verrà scaricato sul computer del cliente nelle prossime ore. Quindi, i principali produttori di antivirus in qualche modo gestiscono il proprio set di CRL, per aumentare il controllo ed evitare i rallentamenti della scansione.

Se viene rilevato un file firmato da un certificato rubato, la maggior parte del prodotto lo contrassegnerebbe come altamente sospetto, indipendentemente dal contenuto del file.

Altre firme valide possono ridurre il punteggio di un file eseguibile quando vengono scansionate da un motore euristico, il che potrebbe avere un'influenza sul verdetto finale.

Che cosa succede se un malware è firmato da un nuovo certificato rubato non noto al fornitore di antivirus? Questo dipende molto dall'antivirus che stai usando e da quale azienda appartiene il certificato rubato. Se sei in grado di firmare un malware con Microsoft Windows Component Publisher, allora credo che la maggior parte degli antivirus potrebbe dare il via libera. Anche i principali fornitori come Intel o Adobe potrebbero essere stati aggiunti al database di fiducia.

Sebbene raro, alcuni antivirus non controllano affatto il certificato, escludono solo il file utilizzando elenchi bianchi.

    
risposta data 15.12.2014 - 17:07
fonte
2

Fonte: link

È passato più di un anno da quando McAfee è diventata una società Intel, e io e il team abbiamo avuto il privilegio di partecipare alla progettazione e allo sviluppo della nostra tecnologia DeepSAFE, così come Deep Defender, il primo prodotto disponibile che sfrutta questo avanzamento . Le recenti minacce nelle notizie confermano ciò su cui abbiamo lavorato e questo blog serve un aggiornamento per i nostri follower.

Prevalenza del malware firmata Il malware con firma digitale ha ricevuto molta attenzione da parte dei media di recente. Infatti oltre 200.000 binari di malware nuovi e unici scoperti nel 2012 hanno firme digitali valide. Scoperti binari dannosi unici con firme digitali valide (cumulative a partire da gennaio 2012) Fonte: database di esempio di McAfee Labs

Perché firmare? Gli hacker firmano il malware nel tentativo di indurre gli utenti e gli amministratori a fidarsi del file, ma anche nel tentativo di eludere il rilevamento da parte del software di sicurezza e di eludere le politiche del sistema. Gran parte di questo malware è firmato con certificati rubati, mentre altri binari sono autofirmati o "firmati da test". La firma di prova viene talvolta utilizzata come parte di un attacco di ingegneria sociale.

Firma di prova La firma di prova è particolarmente utile per gli autori di attacchi su Windows a 64 bit, in cui Microsoft applica la firma del driver. Di default tali driver non verranno caricati. Tuttavia, Microsoft offre agli sviluppatori i mezzi per disabilitare questo criterio e gli autori di malware hanno imparato a fare lo stesso. Rootkit su Windows a 64 bit, come Necurs utilizzato da Banker, Advanced PC Shield 2012 e Cridex, utilizzano questo approccio per compromettere il sistema operativo. Per contrastare questo problema, Deep Defender versione 1.0.1 blocca i driver con firma test per impostazione predefinita, consentendo agli amministratori di ePO di escludere selettivamente i sistemi di sviluppo del driver del kernel in-house, se necessario.

Questo è solo uno strato di protezione, ovviamente. La sicurezza riguarda la "difesa in profondità", dalla rete al silicio. Il monitoraggio della memoria in tempo reale consente a Deep Defender di identificare il rootkit Necurs nel tentativo di compromettere il kernel.

Cercando di nascondersi Essere in grado di osservare gli eventi transitori in memoria consente a DeepSAFE di superare visualizzazioni di file offuscate che sfidano le tradizionali soluzioni antivirus. Caso in questione è il Trojan Mediyes di cui ai citati articoli di stampa. Un rapido controllo del nostro database di esempio mostra più di 7.000 binari unici in questa famiglia. Eppure le regole di memoria scritte più di un anno fa per coprire le tecniche dei rootkit sono in grado di identificare proattivamente l'ultimo attacco firmato, anche come un giorno zero.

Dopo che gli attacchi erano noti, il certificato è stato revocato

Altro a venire Da un po 'di tempo abbiamo visto carichi utili malevoli che tentano di rubare certificati digitali per scopi nefandi, e probabilmente vedremo i frutti di quel lavoro. Con così tanto malware online, siamo sicuri di vedere questa tendenza del malware firmato continuare e aumentare. Post scriptum Deep Defender Versione 1.0.1 è attualmente in beta e dovrebbe entrare nel mercato nel secondo trimestre. Se sei interessato a proteggere il mondo oltre il sistema operativo, stiamo assumendo.

    
risposta data 15.12.2014 - 15:34
fonte

Leggi altre domande sui tag

Una VPN fornisce vantaggi di sicurezza su sshuttle o un tunnel ssh vanilla? Come eseguire i test di penetrazione su un'applicazione Flex?