Các nhà nghiên cứu an ninh mạng đã tiết lộ một kỹ thuật mới được một kẻ đe dọa áp dụng để cố tình trốn tránh bị phát hiện với sự trợ giúp của chữ ký số không đúng định dạng trong các phần mềm độc hại.
“Những kẻ tấn công đã tạo ra chữ ký mã không đúng định dạng được Windows coi là hợp lệ nhưng không thể giải mã hoặc kiểm tra bằng mã OpenSSL – được sử dụng trong một số sản phẩm quét bảo mật”, Neel Mehta của Nhóm phân tích mối đe dọa của Google cho biết trong một bài viết.
Cơ chế mới được quan sát là đã bị khai thác bởi một nhóm phần mềm có tên là OpenSUpdater được sử dụng để tải xuống và cài đặt các chương trình đáng ngờ khác trên các hệ thống bị xâm nhập. Hầu hết các mục tiêu của chiến dịch là người dùng ở Hoa Kỳ, những người có xu hướng tải xuống các phiên bản bẻ khóa của trò chơi và phần mềm vùng xám khác.
Các phát hiện đến từ một tập hợp các mẫu OpenSUpdater được tải lên VirusTotal ít nhất kể từ giữa tháng 8/2021.
Trong khi các đối thủ trong quá khứ đã dựa vào các chứng chỉ kỹ thuật số thu được một cách bất hợp pháp để đánh cắp phần mềm quảng cáo và phần mềm không mong muốn khác qua các công cụ phát hiện phần mềm độc hại hoặc bằng cách nhúng mã tấn công vào các thành phần phần mềm đáng tin cậy, được ký kỹ thuật số bằng cách đầu độc chuỗi cung ứng phần mềm, OpenSUpdater nổi bật với việc sử dụng có chủ đích chữ ký không đúng định dạng để lọt qua hàng phòng thủ.
Các tạo tác được ký bằng chứng chỉ X.509 lá không hợp lệ được chỉnh sửa theo cách sao cho phần tử ‘tham số’ của trường SignatureAlgorithm bao gồm điểm đánh dấu End-of-Content (EOC) thay vì thẻ Null. Mặc dù các mã hóa như vậy bị từ chối là không hợp lệ bởi các sản phẩm sử dụng OpenSSL để truy xuất thông tin chữ ký, các kiểm tra trên hệ thống Windows sẽ cho phép chạy tệp mà không có bất kỳ cảnh báo bảo mật nào.
Mehta cho biết: “Đây là lần đầu tiên TAG quan sát thấy các tác nhân sử dụng kỹ thuật này để tránh bị phát hiện trong khi vẫn giữ được chữ ký điện tử hợp lệ trên các tệp PE”.
Chữ ký mã trên tệp thực thi Windows cung cấp đảm bảo về tính toàn vẹn của tệp thực thi đã ký, cũng như thông tin về danh tính của người ký. Những kẻ tấn công có thể che giấu danh tính của họ trong chữ ký mà không ảnh hưởng đến tính toàn vẹn của chữ ký có thể tránh bị phát hiện lâu hơn và mở rộng thời gian tồn tại của các chứng chỉ ký mã của họ để lây nhiễm sang nhiều hệ thống hơn.
Fanpage: Trí Việt JSC (Theo thehackernews)
