Peneliti Google telah melihatnya malware (terbuka di tab baru) pengembang menggunakan trik baru untuk membingungkan dan menghancurkan Windows 10 (terbuka di tab baru) pemindaian perangkat lunak jahat dengan menggunakan bentuk tanda tangan yang sengaja dibuat salah pada sertifikat yang valid.
Keamanan cyber (terbuka di tab baru) peneliti dengan Google Threat Analysis Group (TAG) Neel Mehta rincian bersama (terbuka di tab baru) tentang trik baru yang digunakan oleh pengembang malware OpenSUpdater.
Mehta mengamati sampel malware yang ditandatangani dengan sertifikat yang sah tetapi sengaja diubah bentuknya, yang membingungkan mekanisme pemindaian karena sertifikat tersebut diterima oleh Windows, tetapi ditolak oleh OpenSSL.
“Produk keamanan yang menggunakan OpenSSL untuk mengekstrak informasi tanda tangan akan menolak penyandian ini sebagai tidak valid. Namun, untuk pengurai yang mengizinkan penyandian ini, tanda tangan digital dari biner sebaliknya akan tampak sah dan valid, ”catat Mehta.
Pendekatan baru
Mengurai kode sihir teknis di balik taktik itu, BleepingComputer menjelaskan bahwa pada dasarnya teknik tersebut merusak parsing sertifikat untuk OpenSSL, mencegah parser mendekode tanda tangan digital untuk memeriksa keasliannya.
Ini memungkinkan sampel berbahaya untuk menghindari deteksi oleh solusi keamanan yang menggunakan aturan deteksi yang didukung OpenSSL, memberi mereka akses tanpa hambatan ke komputer korbannya.
Mehta menambahkan bahwa teknik ini mungkin merupakan contoh pertama dari pelaku ancaman yang menggunakan teknik ini untuk menghindari deteksi. Selain itu, sejauh ini teknik tersebut hanya digunakan oleh pembuat malware OpenSUpdater, untuk menyuntikkan iklan ke browser korban dan memasang program lain yang tidak diinginkan ke perangkat mereka.
Namun, sejak pertama kali menemukan aktivitas ini, penulis OpenSUpdater telah mencoba variasi lain dari pengkodean yang tidak valid untuk menghindari deteksi lebih lanjut.
Google TAG juga telah melaporkan taktik penghindaran inovatif ke Microsoft, bahkan saat mereka bekerja dengan tim Penjelajahan Aman Google untuk memblokir keluarga perangkat lunak yang tidak diinginkan ini.
Melalui BleepingComputer (terbuka di tab baru)
