SHA-1和SHA-2组合拳绕过恶意软件检测机制分析

  赛门铁克公司最近在其博客指出,他们感知出恶意软件的一个令人不安的攻击趋势。在盗用正常的SHA-2证书后,恶意软件能存活的更加容易。

  SHA-1是不安全的

  这个变化是恶意软件进化的一部分,毕竟SHA-1已经被安全公司盯上了。恶意软件想要通过这种办法,让受感染的系统认为自己是正常的代码。如果系统真如其所愿的话,恶意软件将有更高的概率逃过检测。

  微软已经宣布在2016年1月1日后,在某些情况下放弃对SHA-1签名过的文件的支持。恶意软件的缔造者则回应,他们会加入窃取的SHA-2证书。

  赛门铁克提到了老旧的银行木马:Trojan.Carberp. B,已经经过自我修改而应用上了这种方法。这种东西通常会将感染病毒的附件嵌入email的文档里,并以ATTN 00890作为标题。当然,这个email和附件使用了针对会计部门的语言。

  受感染的附件包含了使用了ROT13加密的恶意宏,它会让受感染的机器,从毛里求斯的某个服务器下载一个签名后的二进制文件:sexit.exe,并且进行自动安装。

  SHA-2可能会有自己的问题

  研究人员发现sexit.exe一共签署了两个签名,一个是基于SHA-1,而另一个是基于SHA-2的,这些都是为了逃避操作系统的安全检测。单独使用SHA-1证书可能不会被新的操作系统所接受,而单独使用SHA-2证书,则不会被老旧系统所接受(比如Windows XP sp3)。

  当然,像这样做还有个好处。在SHA-1证书被签名验证发现是伪造的后,我们还有SHA-2证书作为备胎顶上去。

  这种技术的崛起,显示了恶意软件缔造者是如何适应新的证书规则的。当然,它并不会马上蔓延开来,因为缔造者们还需要研究如何兼容老旧系统,但是在不久的将来还是会到来的。

发表评论