Detección AV de malware firmado

10

Con las fugas masivas de Sony (incluyendo su Claves privadas / certificado ), me preguntaba:

¿Cómo lidian los AV principales con los binarios firmados? es decir:

¿Influye en su capacidad de detección del malware firmado? ¿Si es así, cómo? Por ejemplo:

  1. ¿Verifican las CRL y obtienen los binarios con certificados revocados bajo un control más estricto?
  2. ¿Solo verifican si el certificado era válido en el momento de la firma?
  3. Si 1 o 2 son válidos (es decir, el certificado no se revocó ni se firmó en forma binaria cuando aún era válido), ¿el AV acepta ciegamente como legítimo, incluso si es un malware conocido que ya tiene su firma entre la mayoría de los productos AV? / li>

Parece que las ventanas rara vez comprueban los CRL y que a veces puede ser complejo, inconveniente y costoso para revocar un certificado si se usó ampliamente para firmar binarios legítimos en el pasado. Entonces, si lo hacen, ¿vale la pena desde el punto de vista AV?

El punto de esta pregunta es evaluar principalmente esta afirmación de este artículo de 2012:

  

Los autores de malware están interesados en firmar instaladores y no solo en los controladores, porque algunas soluciones antivirus asumen que los archivos firmados digitalmente son legítimos y no los analizan, dijo Bogdan Botezatu, analista de amenazas electrónicas del proveedor de antivirus BitDefender.   "Además, es más probable que los módulos firmados se incluyan en las colecciones de listas blancas, lo que significa que la probabilidad de que se analicen en su totalidad es menor y que no se detectan durante un período más prolongado", dijo Raiu.

No sé mucho acerca de la firma de código, por lo que el problema podría ser más sutil, gracias por corregirme y hago las preguntas incorrectas :)

    
pregunta zX8iqV 15.12.2014 - 11:41
fuente

2 respuestas

2
  

¿Cómo lidian los AV principales con los binarios firmados? es decir:

     

¿Influye en su capacidad de detección del malware firmado? Si   ¿así que cómo? Por ejemplo:

Do they check CRLs and get the binaries with revoked certificates under stronger scrutiny?
Do they only check if the certificate was valid at the time of signature?
If 1 or 2 is valid (ie certificate not revoked or binary signed when it was still valid), do the AV blindly accept as legit even if
     

es un malware conocido que ya tiene su firma entre la mayoría de los AV   productos?

Antivirus es un tipo especial de aplicación, y la respuesta a su pregunta depende en gran medida de la implementación. No existe una implementación estándar para antivirus, cada proveedor tiene su propio conjunto de tecnología de detección (generalmente patentada) y también continuamente toma prestada (ingeniería inversa) de los líderes de la industria. Solo voy a hablar sobre los principales antivirus que conozco en la plataforma Windows.

Respuesta corta a su pregunta: sí, la firma del código influye en la mayoría de los productos antivirus, de una forma u otra.

Por ejemplo, el firmante "Microsoft Windows" y "Microsoft Windows Component Publisher" generalmente están codificados en el motor de exploración. Esto ahorra tiempo de escaneo y evita falsos positivos en los archivos del sistema (que generalmente causan daños catastróficos). Algunos motores de escaneo mal implementados tienen una tasa de falsos positivos muy alta, y se basan en gran medida en las listas blancas y las firmas digitales, pero los de los principales proveedores generalmente son mejores.

Para los certificados robados, su número de serie o hash generalmente se agrega a la base de datos del proveedor de antivirus, que luego se descargará a la computadora del cliente en las próximas horas. Por lo tanto, el principal proveedor de antivirus administra de alguna manera su propio conjunto de CRL, para aumentar el control y evitar la ralentización del análisis.

Si se detecta un archivo firmado por un certificado robado, la mayoría de los productos lo marcarían como altamente sospechoso, sin importar cuál sea el contenido del archivo.

Otras firmas válidas pueden disminuir la puntuación de un archivo ejecutable cuando están siendo escaneados por un motor heurístico, lo que puede influir en el veredicto final.

¿Qué sucede si un malware firmado por un certificado recién robado no es conocido por el proveedor del antivirus? Eso realmente depende de qué antivirus está usando y a qué compañía pertenece el certificado robado. Si puedes firmar un malware con Microsoft Windows Component Publisher, entonces creo que la mayoría de los antivirus le darían luz verde. Los principales proveedores como Intel o Adobe también podrían haberse agregado a la base de datos de confianza.

Aunque es raro, algunos antivirus no comprueban el certificado en absoluto, solo excluyen archivos que utilizan listas blancas.

    
respondido por el Alexander Lee 15.12.2014 - 17:07
fuente
2

Fuente: enlace

Hace más de un año que McAfee se convirtió en una empresa de Intel, y el equipo y yo hemos tenido el privilegio de ser parte del diseño y desarrollo de nuestra tecnología DeepSAFE, así como de Deep Defender, el primer producto disponible que aprovecha este avance. . Las amenazas recientes en las noticias validan lo que hemos estado trabajando y este blog sirve una actualización para nuestros seguidores.

Prevalencia de malware firmado El malware firmado digitalmente ha recibido mucha atención de los medios recientemente. De hecho, más de 200,000 binarios de malware nuevos y únicos descubiertos en 2012 tienen firmas digitales válidas. Binares maliciosos únicos descubiertos con firmas digitales válidas (acumulativas a partir de enero de 2012) Fuente: Base de datos de muestra de McAfee Labs

¿Por qué firmar? Los atacantes firman el malware en un intento de engañar a los usuarios y administradores para que confíen en el archivo, pero también en un esfuerzo por evadir la detección mediante software de seguridad y evadir las políticas del sistema. Gran parte de este malware está firmado con certificados robados, mientras que otros binarios son autofirmados o "prueba firmada". La firma de prueba a veces se usa como parte de un ataque de ingeniería social.

firma de prueba La firma de prueba es particularmente útil para los atacantes en Windows de 64 bits, en los que Microsoft aplica la firma de controladores. Por defecto, estos controladores no se cargarán. Sin embargo, Microsoft proporciona a los desarrolladores los medios para deshabilitar esta política, y los autores de malware han aprendido a hacer lo mismo. Los rootkits en Windows de 64 bits, como Necurs utilizados por Banker, Advanced PC Shield 2012 y Cridex, utilizan este enfoque para comprometer el sistema operativo. Para combatir esto, la versión 1.0.1 de Deep Defender bloquea los controladores con firma de prueba de manera predeterminada, al tiempo que permite a los administradores de ePO excluir de forma selectiva los sistemas internos del desarrollador del controlador del kernel, según sea necesario.

Esto es solo una capa de protección, por supuesto. La seguridad se trata de "defensa en profundidad", desde la red hasta el silicio. El monitoreo de la memoria en tiempo real permite que Deep Defender identifique el rootkit de Necurs cuando intenta comprometer el kernel.

Intentando ocultar El hecho de poder observar eventos transitorios en la memoria permite a DeepSAFE superar las vistas de archivos ofuscados que desafían las soluciones antivirus tradicionales. El caso en cuestión es el troyano Mediyes al que se hace referencia en los artículos de prensa mencionados anteriormente. Una revisión rápida de nuestra base de datos de muestra muestra más de 7,000 binarios únicos en esta familia. Sin embargo, las reglas de memoria escritas hace más de un año para cubrir las técnicas de rootkit son capaces de identificar proactivamente el último ataque firmado, incluso como un día cero.

Después de que se conocieron los ataques, el certificado fue revocado

Más por venir Durante algún tiempo hemos visto cargas maliciosas que intentan robar certificados digitales con propósitos infames, y es probable que estemos viendo los frutos de esa labor. Con tanto malware en línea, estamos seguros de que esta tendencia de malware firmado continuará y aumentará. PD La versión 1.0.1 de Deep Defender se encuentra actualmente en fase beta y se espera que llegue al mercado en el segundo trimestre. Si está interesado en ayudar a proteger el mundo más allá del sistema operativo, estamos contratando.

    
respondido por el malwarman 15.12.2014 - 15:34
fuente

Lea otras preguntas en las etiquetas