神刀安全网

SHA-1和SHA-2组合拳绕过恶意软件检测机制

SHA-1和SHA-2组合拳绕过恶意软件检测机制

赛门铁克公司最近在其博客 指出 ,他们感知出恶意软件的一个令人不安的 攻击 趋势。在盗用正常的SHA-2证书后,恶意软件能 存活的 更加容易。

SHA-1是不安全的

这个变化是恶意软件进化的一部分,毕竟SHA-1已经被安全公司盯上了。恶意软件想要通过这种办法,让受感染的系统认为自己是正常的代码。如果系统真如其所愿的话,恶意软件将有更高的概率逃过检测。

微软已经宣布在2016年1月1日后,在某些情况下 放弃对SHA-1签名过的文件的支持 。恶意软件的缔造者则回应,他们会加入窃取的SHA-2证书。

赛门铁克提到了老旧的银行木马: Trojan.Carberp. B ,已经经过自我修改而应用上了这种方法。这种东西通常会将感染病毒的附件嵌入email的文档里,并以ATTN 00890作为标题。当然,这个email和附件使用了针对会计部门的语言。

受感染的附件包含了使用了ROT13加密的恶意宏,它会让受感染的机器,从毛里求斯的某个服务器下载一个签名后的二进制文件:sexit.exe,并且进行自动安装。

SHA-2可能会有自己的问题

研究人员发现sexit.exe一共签署了两个签名,一个是基于SHA-1,而另一个是基于SHA-2的,这些都是为了逃避操作系统的安全检测。单独使用SHA-1证书可能不会被新的操作系统所接受,而单独使用SHA-2证书,则不会被老旧系统所接受(比如Windows XP sp3)。

当然,像这样做还有个好处。在SHA-1证书被签名验证发现是伪造的后,我们还有SHA-2证书作为备胎顶上去。

这种技术的崛起,显示了恶意软件缔造者是如何适应新的证书规则的。当然,它并不会马上蔓延开来,因为 缔造者 们还需要研究如何兼容老旧系统,但是在不久的将来还是会到来的。

*参考来源: SI ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » SHA-1和SHA-2组合拳绕过恶意软件检测机制

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮