已签名恶意软件的 AV 检测

信息安全 恶意软件 杀毒软件 代码签名
2021-09-06 06:10:19

随着大量索尼泄漏(包括他们的私钥/证书),我想知道:

主要的 AV 如何处理已签名的二进制文件?IE:

它会影响他们检测签名恶意软件的能力吗?如果是这样,怎么做?例如:

  1. 他们是否会检查 CRL 并在更严格的审查下获取已撤销证书的二进制文件?
  2. 他们是否仅在签名时检查证书是否有效?
  3. 如果 1 或 2 是有效的(即证书未撤销或二进制签名仍然有效),即使它是在大多数 AV 产品中已经具有签名的知名恶意软件,该 AV 是否​​会盲目接受合法?

Windows 似乎很少检查 CRL ,如果过去广泛用于签署合法二进制文件,撤销证书有时可能会很复杂、不方便且成本高昂。那么,如果他们这样做了,从 AV 的角度来看是否值得?

这个问题的重点主要是从2012年的这篇文章中评估这个断言:

防病毒供应商 BitDefender 的高级电子威胁分析师 Bogdan Botezatu 表示,恶意软件作者对签署安装程序感兴趣,而不仅仅是驱动程序,因为一些防病毒解决方案假定数字签名文件是合法的并且不扫描它们。“此外,签名模块更有可能包含在白名单集合中,这意味着它们被充分分析的机会较低,并且它们在较长时间内未被发现,”Raiu 说。

我对代码签名不太了解,所以问题可能更微妙,谢谢你纠正我我问错了问题:)

2个回答

主要的 AV 如何处理已签名的二进制文件?IE:

它会影响他们检测签名恶意软件的能力吗?如果是这样,怎么做?例如:

Do they check CRLs and get the binaries with revoked certificates under stronger scrutiny?
Do they only check if the certificate was valid at the time of signature?
If 1 or 2 is valid (ie certificate not revoked or binary signed when it was still valid), do the AV blindly accept as legit even if

它是一种众所周知的恶意软件,已经在大多数 AV 产品中具有签名?

防病毒是一种特殊的应用程序,您的问题的答案在很大程度上取决于实现。杀毒没有标准的实现,每个供应商都有自己的一套(通常是专利的)检测技术,并且还不断地向行业领导者借用(逆向工程)。我只会讨论我所知道的 Windows 平台上的主要防病毒软件。

对您的问题的简短回答:是的,代码签名确实会以一种或其他方式影响大多数防病毒产品。

例如,签名者“Microsoft Windows”和“Microsoft Windows Component Publisher”通常被硬编码到扫描引擎中。这可以节省扫描时间并避免系统文件出现任何误报(这通常会导致灾难性损坏)。一些实施不佳的扫描引擎具有非常高的误报率,并且严重依赖白名单和数字签名,但主要供应商的扫描引擎通常更好。

对于被盗的证书,它们的序列号或哈希通常会添加到防病毒供应商的数据库中,然后在接下来的几个小时内将其下载到客户的计算机上。因此,主要的防病毒供应商以某种方式管理自己的 CRL 集,以增强控制并避免扫描速度变慢。

如果检测到由被盗证书签名的文件,大多数产品都会将其标记为高度可疑,无论文件内容实际是什么。

其他有效签名在被启发式引擎扫描时可能会降低可执行文件的分数,这可能会影响最终判决。

如果恶意软件由防病毒供应商不知道的新盗证书签名怎么办?这实际上取决于您使用的防病毒软件以及被盗证书属于哪个公司。如果您能够使用 Microsoft Windows Component Publisher 签署恶意软件,那么我相信大多数防病毒软件都会给它开绿灯。英特尔或 Adob​​e 等主要供应商也可以添加到信任数据库中。

虽然很少见,但一些防病毒软件根本不检查证书,它们只使用白名单排除文件。

来源:http: //blogs.mcafee.com/mcafee-labs/signed-malware-you-can-runbut-you-cant-hide

McAfee 成为英特尔公司已经一年多了,我和我的团队有幸参与设计和开发我们的 DeepSAFE 技术以及 Deep Defender,这是第一个利用这一进步的可用产品。新闻中最近的威胁证实了我们一直在努力的工作,这个博客为我们的追随者提供更新。

签名恶意软件流行 数字签名恶意软件最近受到了很多媒体的关注。事实上,2012 年发现的超过 200,000 个新的和独特的恶意软件二进制文件具有有效的数字签名。使用有效数字签名发现的唯一恶意二进制文件(从 2012 年 1 月开始累积) 来源:McAfee Labs 示例数据库

为什么要签名?攻击者签署恶意软件是为了诱骗用户和管理员信任该文件,同时也是为了逃避安全软件的检测和规避系统策略。这种恶意软件的大部分是用被盗的证书签名的,而其他二进制文件是自签名或“测试签名”的。测试签名有时被用作社会工程攻击的一部分。

测试签名 测试签名对 64 位 Windows 上的攻击者特别有用,Microsoft 在该 Windows 上强制执行驱动程序签名。默认情况下,不会加载此类驱动程序。但是,Microsoft 为开发人员提供了禁用此策略的方法,恶意软件作者也学会了这样做。64 位 Windows 上的 Rootkit(例如 Banker 使用的 Necurs、Advanced PC Shield 2012 和 Cridex)使用这种方法来破坏操作系统。为了解决这个问题,Deep Defender 1.0.1 版默认阻止测试签名的驱动程序,同时允许 ePO 管理员根据需要选择性地排除内部内核驱动程序开发人员的系统。

当然,这只是一层保护。安全是关于从网络到芯片的“纵深防御”。实时内存监控允许 Deep Defender 在 Necurs rootkit 试图破坏内核时识别它。

试图隐藏 能够观察内存中的瞬态事件使 DeepSAFE 能够绕过挑战传统防病毒解决方案的混淆文件视图。上述新闻文章中提到的 Mediyes 木马就是一个很好的例子。快速检查我们的示例数据库会显示该系列中有 7,000 多个唯一的二进制文件。然而,一年多前编写的涵盖 Rootkit 技术的内存规则能够主动识别最新的签名攻击,即使是零日攻击。

在知道攻击后,证书被吊销

更多内容 一段时间以来,我们已经看到恶意负载试图窃取数字证书用于不法目的,我们很可能看到了这种努力的成果。由于在线恶意软件如此之多,我们肯定会看到签名恶意软件的这种趋势继续并增加。PS Deep Defender 1.0.1 版目前处于测试阶段,预计将于第二季度上市。如果您有兴趣帮助保护操作系统以外的世界,我们正在招聘。

其它你可能感兴趣的问题
上一篇如何开始使用 DNSSEC? 下一篇为什么这么多破解尝试来自中国?