นักพัฒนามัลแวร์สร้างโค้ดรูปแบบไม่ถูกต้องเพื่อหลีกเลี่ยงการถูกตรวจจับ

นักพัฒนามัลแวร์สร้างลายเซ็นโค้ดที่มีรูปแบบที่ไม่ถูกต้องเพื่อหลีกเลี่ยงการถูกตรวจจับ

ขอบคุณภาพ @PongPhoto จาก Twenty20

นักวิจัย Google ค้นพบเทคนิคที่ใช้ในการผลักดันซอฟต์แวร์หลบเลี่ยงไปยังเหยื่อที่ไม่สงสัย

นักวิจัยด้านความปลอดภัยได้ค้นพบแฮกเกอร์ที่พัฒนาลายเซ็นโค้ดที่มีรูปแบบไม่ถูกต้อง ซึ่งถูกมองว่าใช้ได้ใน Windows เพื่อหลีกเลี่ยงการตรวจจับซอฟต์แวร์ความปลอดภัย

นักวิจัยจากกลุ่มการวิเคราะห์ภัยคุกคามของ Google พบว่าแฮกเกอร์ใช้เทคนิคในการติดตั้ง OpenSUpdater จากนั้นจึงใช้ซอฟต์แวร์เพื่อดาวน์โหลดและติดตั้งโปรแกรมที่น่าสงสัยอื่นๆ

Neel Mehta นักวิจัยด้านความปลอดภัยที่ Google กล่าวว่า “ผู้อยู่เบื้องหลัง OpenSUpdater พยายามที่จะแพร่ไปยังผู้ใช้ให้มากที่สุดเท่าที่เป็นไปได้ และในขณะที่พวกเขาไม่มีการกำหนดเป้าหมายเฉพาะ แต่เป้าหมายส่วนใหญ่ดูเหมือนจะอยู่ในสหรัฐอเมริกาและเป็นผู้ที่มีแนวโน้มที่จะดาวน์โหลดแคร็กเกมและซอฟต์แวร์พื้นที่สีเทา”

ประมาณหนึ่งเดือนที่ผ่านมา Mehta พบว่านักพัฒนาซอฟต์แวร์ OpenSUpdater เริ่มลงนามตัวอย่างด้วยใบรับรองที่ถูกต้องตามกฎหมายแต่มีรูปแบบที่ไม่ถูกต้องโดยเจตนา โดยตัวอย่างถูกอัปโหลดไปยัง VirusTotal จนถึงกลางเดือนสิงหาคม และ Windows ก็ยอมรับ อย่างไรก็ตาม OpenSSL ปฏิเสธพวกเขา

ในตัวอย่างใหม่เหล่านี้ แฮกเกอร์แก้ไขลายเซ็นเพื่อให้เครื่องหมายสิ้นสุดเนื้อหา (EOC) แทนที่แท็ก NULL สำหรับองค์ประกอบ "พารามิเตอร์" ของ SignatureAlgorithm ที่ลงนามในใบรับรอง X.509 ลีฟ

เครื่องหมาย EOC จะยุติการเข้ารหัสที่มีความยาวไม่จำกัด แต่ในกรณีนี้ จะใช้ EOC ในการเข้ารหัสที่มีความยาวแน่นอน

“ผลิตภัณฑ์ความปลอดภัยที่ใช้ OpenSSL เพื่อดึงข้อมูลลายเซ็นจะปฏิเสธการเข้ารหัสนี้ว่าไม่ถูกต้อง อย่างไรก็ตาม สำหรับ parser ที่อนุญาตการเข้ารหัสเหล่านี้ ลายเซ็นดิจิทัลของไบนารีจะดูเหมือนถูกต้องและเชื่อถือได้” Mehta กล่าว

Mehta กล่าวว่านี่เป็นครั้งแรกที่นักวิจัยของเขาสังเกตเห็นแฮ็กเกอร์ที่ใช้เทคนิคนี้เพื่อหลบเลี่ยงการตรวจจับ ในขณะที่ยังคงรักษาลายเซ็นดิจิทัลที่ถูกต้องไว้ในไฟล์ PE

"ตั้งแต่กิจกรรมนี้ถูกค้นพบในครั้งแรก ผู้เขียนของ OpenSUpdater ได้ลองใช้การเข้ารหัสที่ไม่ถูกต้องในรูปแบบอื่นๆ เพื่อหลบเลี่ยงการตรวจจับเพิ่มเติม" Mehta กล่าวเสริม

เมื่อพบปัญหา Mehta ได้รายงานไปยัง Microsoft เพื่อตรวจสอบ ขณะนี้ทีมของ Mehta กำลังเร่งพัฒนา Google Safe Browsing เพื่อปกป้องผู้ใช้จากการดาวน์โหลดและเรียกใช้ซอฟต์แวร์ที่ไม่ต้องการนี้ โดยเขาเน้นว่าผู้ใช้ควรดาวน์โหลดและติดตั้งซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น

OpenSSL ซึ่งเป็นไลบรารีซอฟต์แวร์เข้ารหัสที่ใช้กันอย่างแพร่หลายนี้เองที่เป็นประเด็นของข้อบกพร่อง ตามที่รายงานในเดือนเมษายน ข้อบกพร่องร้ายแรงที่ทำให้แฮ็กเกอร์สามารถขัดการทำงานของเซิร์ฟเวอร์จำนวนมากนี้ ได้รับการแก้ไขแล้ว และการอัปเดต OpenSSL 1.1.1k ก็ได้แก้ไขจุดบกพร่องร้ายแรงสองจุด รวมถึง CVE-2021-3449 ซึ่งอาจถูกใช้โดยแฮกเกอร์เพื่อทำให้เว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์อีเมลเกิดช่องโหว่เสียหายโดยเจตนา ทำให้เกิดสถานการณ์การปฏิเสธบริการ (DoS) แบบซ้ำ

ที่มา: https://bit.ly/32wVpzJ