Aggiornamenti recenti Marzo 30th, 2023 2:23 PM
Ago 08, 2016 Marco Schiaffino Concept, Malware, News, Vulnerabilità 0
Uno degli aspetti che gli autori di malware curano con la massima attenzione è quello dell’offuscamento del codice maligno. Le tecniche per aggirare il riconoscimento da parte degli antivirus sono numerose e di solito sfruttano la crittografia o l’uso di un packer, che consente di comprimere il file ma anche di nasconderne il contenuto.
Non si tratta, però, di tecniche a prova di bomba. Tutti i programmi antivirus sono in grado di decodificare i file “reimpacchettati” e la semplice presenza di codice offuscato viene rilevata dai sistemi euristici che la interpretano come l’indizio della presenza di un malware.
Tom Nipravsky è un ricercatore di Deep Instinct, una società di sicurezza con sede a Tel Aviv. Nipravsky si è domandato se fosse possibile trovare un modo più efficace per nascondere un malware. Per farlo, ha eseguito una complessa opera di reverse engineering sul sistema di verifica dei certificati digitali usato da Windows.
I risultati della sua ricerca sono stati illustrati al Black Hat USA 2016 di Las Vegas. Quello che ha scoperto, in pratica, è che esiste uno spazio nei file in cui è possibile inserire codice senza modificare l’hash. Il sistema di autenticazione, infatti, esegue una comparazione tra l’hash riportato nel certificato e quello che calcola al momento del caricamento dell’eseguibile.
L’operazione, in teoria, permette di controllare se il file è stato modificato rispetto alla versione certificata. Windows, però, esclude dal calcolo alcuni campi e, in particolare, IMAGE_DIRECTORY_ENTRY_SECURITY. È qui che può essere inserito del codice in modo che l’hash non cambi e il sistema di autenticazione consideri il file innocuo.
La manipolazione del file non lascia alcuna traccia, se non un aumento delle sue dimensioni.
Anche la modifica delle dimensioni può essere occultata senza problemi. Insomma: con questa tecnica è possibile introdurre un malware che risulta completamente invisibile.
Nipravsky ha pubblicato sul sito della manifestazione un documento in PDF che spiega tutti i dettagli della tecnica, che stando al ricercatore permetterebbe di aggirare i controlli di tutti i maggiori prodotti antivirus sul mercato. Ora la palla passa ai produttori di software antivirus, che dovranno trovare al più presto un modo per eliminare questa vulnerabilità.
Mar 21, 2023 0
Mar 07, 2023 0
Gen 27, 2023 0
Nov 11, 2022 0
Mar 30, 2023 0
Mar 29, 2023 0
Mar 28, 2023 0
Mar 28, 2023 0
Mar 30, 2023 0
Check Point Research (CPR) ha condotto un’analisi...Mar 28, 2023 0
Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity di...Mar 27, 2023 0
Imprese e infrastrutture critiche non sono stati gli unici...Mar 27, 2023 0
Nel corso dell’evento Attiva Incontra di Attiva...Mar 24, 2023 0
Mandiant ha presentato una nuova ricerca che analizza le...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 30, 2023 0
C’è un nuovo gruppo nel mondo dei ransomware: si...Mar 29, 2023 0
A inizio mese Fortinet aveva pubblicato un avviso...Mar 28, 2023 0
Automattic, l’azienda che sviluppa il CMS WordPress,...Mar 28, 2023 0
Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity...Mar 27, 2023 0
Secondo un nuovo rapporto pubblicato recentemente da...