谷歌警告：利用这种方法在 Windows上传播恶意软件，无法被检测到

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

他指出，“攻击者创建了Windows 认为是有效的畸形代码签名，但实际上无法由由于很多安全扫描工具中的 OpenSSL 代码解码或检测。”这种新机制遭臭名昭著的有害软件 OpenSUpdater 家族利用，该家族用于下载并在受陷系统上安装可疑程序。多数攻击目标是位于美国的用户，这些用户更容易下载破解版游戏和其它灰色软件。

这项研究结果建立于至少在8月中旬就被上传到 VirusTotal 瓶体的 OpenSUpdater 样本。

此前攻击者依赖于非法获取的数字证书使广告软件和其它冗余软件躲避恶意软件检测工具，或者依赖于将攻击代码嵌入数字化签名的可信软件组件来投毒软件供应链，而 OpenSUpdater 因故意利用畸形签名躲避防御措施脱颖而出。

这些部件被无效的 X.509 证书签名，该证书遭编辑，SignatureAlgorithm 字段的“参数”字段中包含 End-of-Content (EOC) 标记而非 NULL 标记。尽管这类编码遭使用 OpenSSL 产品以检索签名信息的产品拒绝且被判定为无效，但Windows 系统检查将使得文件在没有任何安全警告的情况下运行。

Mehta 表示，“这是威胁分析团队首次发现攻击者以这种技术躲避检测，同时在PE文件上保留有效的数字签名。Windows 可执行文件上的代码签名提供了已签名可执行文件的完整性以及关于签名者身份的信息。攻击者如能在签名中隐藏身份而不影响签名的完整性，将能够更长久地躲避检测并延长代码签名证书的生命周期以感染更多的系统。“