Certificado Authenticode para evitar A / V

Es muy probable que Authenticode ayude a evitar el control humano, ya que la víctima tiene más posibilidades de aceptar la ejecución de una aplicación marcada como proveniente de una fuente confiable.

antivirus mismos, mientras que pueden tener esto en cuenta, confían en múltiples criterios para detectar malware y el autenticodo será, a lo sumo, solo un criterio entre los demás.

Lo que hace un antivirus es calcular una puntuación basada en estos criterios múltiples (contenido de archivo ejecutable, comportamiento, etc.). Es posible que un software obtenga un punto de bonificación cuando esté certificado, pero si por otro lado su comportamiento se considera malicioso, se marcará como malware de todos modos.

Microsoft proporciona un algunos detalles de alto nivel sobre cómo usan Authenticode en su propio conjunto de seguridad, Microsoft Security Essential (el énfasis es mío):

  

Cuando Microsoft Security Essentials encuentra por primera vez un archivo, realiza un escaneo de malware utilizando todas las tecnologías que necesita para determinar si el archivo es malicioso. Si el archivo no es malicioso (lo cual es de esperar en el caso), hay una verificación de antecedentes que se realiza más adelante, utilizando ciclos de inactividad para ver si la firma o el hash de Authenticode del archivo coincide con una lista interna de editores de confianza y archivos limpios conocidos. Si el archivo está en la lista, se omitirá en futuros escaneos , ya sea en el acceso o bajo demanda.

     

A continuación, Microsoft Security Essentials utiliza sus listas de reputación interna para controlar qué información sobre los archivos desconocidos envía a Microsoft, o qué archivos puede pedir a los usuarios que envíen a Microsoft para un análisis más detallado. Debajo del capó se encuentra un sofisticado sistema de monitoreo de comportamiento en tiempo de ejecución, que busca el software que actúa de manera sospechosa, como la modificación de un archivo autorun.inf a AutoPlay. [...] Debido a la necesidad de velocidad y al hecho de que el software legítimo a veces comparte comportamientos con malware, ese sistema utilizará las listas de reputación para omitir archivos basados en la reputación.

     

La firma de Authenticode es clave porque agrega la reputación de todos sus archivos y también aplica su reputación a los archivos nuevos. [...] La firma de Authenticode no dice explícitamente nada sobre la seguridad del código firmado, como sabemos bien en el MMPC, pero es invaluable para determinar la reputación y separar el código legítimo de editores conocidos de código potencialmente peligroso.

Según este post en su caso, actúan en tres pasos:

• Primero verifique el contenido y el comportamiento del archivo utilizando los medios AV tradicionales.
• Si no se ha encontrado nada sospechoso, permita el archivo por ahora y programe una verificación del Authenticode para más adelante.
• Si la comprobación de Authenticode revela que el archivo ha sido firmado por una fuente confiable (la publicación no explica lo que se considera una fuente "confiable" y supongo que Microsoft no revelará el criterio exacto para evitar el abuso), Seguridad de Microsoft Essential deja completamente de revisar este archivo y lo permite de manera sistemática.

Esta pregunta relacionada tiene respuestas interesantes sobre cómo funciona el software antivirus: ¿Cómo analizan los antivirus las miles de firmas de malware en un ¿poco tiempo? , y esta otra pregunta se relaciona con el otro lado de la historia: Técnicas para la evasión anti virus .