Ongewenste software omzeilt detectie via ongeldige digitale handtekening

[Captain Kirk]

Ongewenste software maakt gebruik van een nieuwe methode met opzettelijk ongeldige digitale handtekeningen om detectie door beveiligingssoftware te omzeilen, zo stelt Google. Digitale handtekeningen garanderen de integriteit van een gesigneerd bestand en bevatten daarnaast informatie over de identiteit van de ondertekenaar.

Google ontdekte dat ongewenste aangeduid als "OpenSUpdater" sinds halverwege augustus van ongeldige digitale handtekeningen gebruikmaakt om detectie te voorkomen. De digitale handtekeningen worden door Windows als geldig gezien, maar kunnen niet door OpenSSL-code worden gedecodeerd of gecontroleerd. Beveiligingssoftware die van OpenSSL gebruikmaakt om informatie over de digitale handtekening uit te lezen zal de gebruikte encodering als ongeldig bestempelen. De parser staat de gebruikte encodering echter toe, waardoor de digitale handtekening van het bestand legitiem en geldig lijkt.

Google stelt dat dit de eerste keer is dat het aanvallers deze techniek ziet gebruiken om detectie te voorkomen terwijl de geldigheid van de digitale handtekening bewaard blijft. Microsoft is inmiddels over de gebruikte tactiek ingelicht. OpenSUpdater downloadt allerlei andere verdachte programma's op computers. Aangezien OpenSUpdater aanwezig is in gekraakte games en andere dubieuze software adviseert Google om alleen software van betrouwbare bronnen te downloaden en installeren.

 

bron: https://www.security.nl