记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

冒用数字签名的对抗:亟需加强的签名审核

前言很多时候,杀毒软件都会对一个可执行程序的数字签名进行验证,而每个数字签名都配对着该可执行程序的Hash值,以防其它程序盗用这个软件的独有的数字签名,如下图所示:早期的杀毒软件主要是通过软件的特征码进行来识别病毒和恶意软件,但是这个技术有个缺陷,就是软件的特征码是可以更改的。随后,杀毒软件又有了云查杀和行为查杀等功能。虽然杀毒软件的保护能力增强了,但是又出现了一个新的问题,就是误报。比如常见的,通过易语言编译的程序很容易遭到杀毒软件的查杀。还有一些软件的行为,也会被杀毒软件自动判定为病毒文件。所以大部分杀毒软件又增加了一道门槛,数字签名验校。如果一个程序有了知名公司官方的数字签名,那么该程序一般是不会被杀毒软件查杀的。早在今年7月份,360白名单分析组捕获并查杀了一批具有知名公司签名的木
发布时间:2016-09-14 21:25 | 阅读:92034 | 评论:0 | 标签:安全报告 数字签名

BlackHat议题解析:Windows程序的数字签名校验“漏洞”

* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名bypass对恶意程序代码的检测。下载大会的该演讲的ppt大概看了一下,报告分为两部分,第一部分展示数字签名的的校验“漏洞”,第二部分展示该作者自己研究实现的一个pe程序加载器,用来配合第一部分的“漏洞“bypass杀毒软件对恶意程序的检测。本文重点在于第一部分的这个数字签名校验”漏洞“,通过回顾分析数字签名的校验来阐述这个”漏洞“的原理。数字签名与数字证书讲这个”漏洞“之前先讲一下数字签名的原理,理解一般的数字签名验证过程。下面是数字签名的相关概念和验证过程:数字签名:对一段数据摘要使用私钥进行加密,公钥进行解密校验数字证书:对数字签名
发布时间:2016-09-05 15:30 | 阅读:87778 | 评论:0 | 标签:漏洞 blackhat windows 数字签名

在合法数字签名文件中隐藏恶意软件

该技术不会破坏原文件的签名,可以让恶意软件绕过反病毒检测。 一项新技术能够让攻击者在数字签名过的文件中隐藏恶意代码,而不需要破坏其签名,并进而能够将该文件直接载入进另一个进程的内存中。 该攻击方法由网络安全公司 Deep Instinct 的一位研究人员 Tom Nipravsky 发现。它可能将成为罪犯和间谍小组在未来的有用工具,让他们能够使恶意软件溜过反病毒扫描器和其它安全产品。 Nipravsky研究的第一部分已经在近日于拉斯维加斯召开的黑帽安全大会上得到展示。它与速记式加密 (Steganography) 有关,可以将数据藏在合法的文件中。 恶意软件作者在以前曾经将恶意代码或恶意软件配置文件数据藏在照片里,Nipravsky的技术则与此有所不同,因为该技术能够让攻击者对数字签名过的文件如法炮制。这对黑
发布时间:2016-08-21 01:05 | 阅读:75747 | 评论:0 | 标签:威胁情报 恶意软件 数字签名 网络犯罪 速记式加密

盗用过期数字签名的DDoS样本分析

0×01 概述2016年1月,安天追影小组通过安天态势感知系统发现了一款带有过期签名的DDoS恶意程序,该样本盗用了韩国NHN公司美国分公司的数字签名,NHN旗下包括韩国本土最大的搜索引擎网站,美国分公司主要从事网络游戏开发,被盗用的数字签名已经过期,恶意代码添加过期的数字签名主要是为了躲避杀软检测。该数字签名被多个恶意样本使用,应该已经在地下市场 流传。该DDoS样本包含多种DDoS攻击方式,并主要针对国内的在线销售减肥药、在线赌博、电子交易平台进行攻击。攻击者对灰色或非法网站进行DDoS 攻击的目的可能是敲诈或者同业竞争。通过追影设备分析发现该病毒为DDOS恶意样本,病毒样本运行后释放rasmedia.dll到system32目录 下,安装WinHelp32服务,运行CMD自
发布时间:2016-01-19 16:45 | 阅读:194777 | 评论:0 | 标签:网络安全 ddos 安全检测 数字签名 杀毒软件 样本 躲避

解密新晋信息窃取木马Spymel

近日,ThreatLabZ安全研究团队发现了一种新的木马家族——Spymel,该木马旨在窃取信息,且通过使用合法的数字证书逃避检测。木马简介感染周期开始于一个恶意的JavaScript文件,该文件被隐藏在电子邮件附件的ZIP压缩文件中。一旦用户打开该JavaScript文件,恶意软件的可执行安装包就会自动下载并在目标机器上安装。研究发现,该JavaScript文件并没有使用混淆算法,可以轻易地发现其中的恶意链接,Spymel木马的可执行安装包就是通过该硬编码的链接从远程下载的,如图一。图一 硬编码的URL的屏幕截图分析过程已下载的可执行安装包是高度混淆的.NET二进制文件,并且使用颁发给SBO INVEST的证书签名,而发现该问题后,收到通知的DigiCert就立即撤销了该证书。但是两周后
发布时间:2016-01-12 17:55 | 阅读:90935 | 评论:0 | 标签:数据安全 Spymel ThreatLabZ 数字签名

修改ThinkPad数字签名BIOS无线网卡白名单

接上文说,现在的新版BIOS都是使用RSA数字签名校验的,如果你把官网下载的BIOS修改后,是无法通过校验的,但是可以使用现有BIOS来进行修改后再编程器刷入。本次修改我的目的是进行无线网卡白名单硬编码修改。 要使用白名单我们可以先在windows的设备管理器中查找现在无线网卡的硬件ID,作为特征码,在后面搜索BIOS中会用到,如下图   上面是我后来截图的例子,比如我笔记本上的老的无线网卡硬件Id是: PCIVEN_10EC&DEV_8176&SUBSYS_819510EC&REV_03 忽略最后一个REV参数,那么对每个字段分别使用little-endian小段字节序就是 EC107681EC109581 新网卡的硬件Id可以把笔记本盖合上
发布时间:2014-04-14 11:50 | 阅读:422708 | 评论:0 | 标签:技术分享 Bios 数字签名 无线网卡白名单 编程器 联想

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词