Authenticode Certificate per evitare A / V

Naviga le tue risposte
1

Se firmo un file eseguibile con un certificato di autenticazione autentico, qualsiasi arresto A / V lo contrassegnerà come virus?

    
posta Marsh 18.07.2017 - 18:26
fonte

1 risposta

1

L'Authenticode molto probabilmente aiuterà a superare il controllo umano, poiché la vittima ha più possibilità di accettare l'esecuzione di un'applicazione contrassegnata come proveniente da una fonte attendibile.

Antivirus stessi, mentre possono tenerne conto, affidarsi a più criteri per rilevare il malware e il metodo di autenticazione al massimo sarà solo un criterio tra gli altri.

Quello che fa un anti-virus è calcolare un punteggio basato su questi criteri multipli (contenuto del file eseguibile, comportamento, ecc.). È possibile che un software ottiene un punto bonus quando è certificato, ma se dall'altra parte il suo comportamento è considerato malevolo, verrà comunque contrassegnato come malware.

Microsoft fornisce un pochi dettagli di alto livello su come utilizzano Authenticode nella propria suite di sicurezza, Microsoft Security Essential (l'enfasi è mia):

When Microsoft Security Essentials first encounters a file, it performs a malware scan using all the technologies it needs to determine if the file is malicious. If the file is not malicious (which is hopefully the case), there's a background check that happens later, using idle cycles to see if the file's Authenticode signature or hash matches an internal list of trusted publishers and known clean files. If the file is on the list, it will be skipped in future scans, either on access or on demand.

Next, Microsoft Security Essentials uses its internal reputation lists to control what information on unknown files it sends back to Microsoft, or what files it may ask users to submit to Microsoft for further analysis. Under the hood is a sophisticated runtime behavior-monitoring system, which looks for software acting suspiciously, like modifying an autorun.inf file to AutoPlay. [...] Because of the need for speed and the fact that legitimate software will sometimes share behaviors with malware, that system will use the reputation lists to bypass files based on reputation.

Authenticode signing is key because it aggregates reputation for all your files, and applies your reputation to brand new files as well. [...] Authenticode signing doesn't explicitly say anything about the safety of the signed code, as we in the MMPC know well, but it's invaluable for determining reputation and separating legitimate code from known publishers from potentially dangerous code.

Secondo questo post nel loro caso agiscono in tre fasi:

  • Innanzitutto controlla il contenuto e il comportamento del file usando i mezzi AV tradizionali.
  • Se non è stato trovato nulla di sospetto, concedi il file per ora e pianifica un controllo dell'autenticode per dopo.
  • Se il controllo Authenticode rivela che il file è stato firmato da una fonte attendibile (il post non spiega quale sia considerata una fonte "attendibile" e suppongo che Microsoft non riveli il criterio esatto per prevenire l'abuso), Microsoft Security Essential smette completamente di controllare questo file e lo consente sistematicamente.

Questa domanda correlata ha risposte interessanti su come funziona il software antivirus: Come fanno gli antivirus a scansionare migliaia di firme malware in un breve tempo? , e questa altra domanda riguarda l'altro lato della storia: Tecniche per l'evasione di virus anti .

    
risposta data 18.07.2017 - 18:45
fonte

Leggi altre domande sui tag

Cancellazione del contenuto di un disco fisso della fotocopiatrice, in modo che la fotocopiatrice possa usarlo di nuovo File firmato con certificato installato maliziosamente sulla macchina