Эксперты обнаружили новый способ маскировать вредоносный контент

Олег Иванов 10 Августа 2016 - 14:20

...

Эксперты обнаружили новый способ маскировать вредоносный контент

Киберпреступники могут упаковывать вредоносные программы в файлы с цифровой подписью, не нарушая ее, это позволяет обойти детектирование антивирусной продукцией, предупреждают эксперты.

В официальном документе, представленном на конференции Black Hat USA 2016, исследователи Deep Instinct показали, что можно скрыть вредоносный файл внутри другого файла с возможностью выполнения, не нарушая при этом структуру (без шифрования основных разделов файла).

Авторы вредоносных программ постоянно ищут новые способы обхода детектирования антивирусными средствами. Часто они прибегают к таким способам как упаковщики или различные техники шифрования, потому что антивирусы способны обнаружить вредоносный контент только тогда, когда есть возможность его распаковать, если он в сжатом или зашифрованном виде. Исследователи утверждают, что обнаруженный ими недавно метод решает проблему детектирования.

Упаковщики были созданы не только для того, чтобы уменьшить размер, занимаемый файлами на диске, но и затруднить обратный инжиниринг (reverse engineering) исполняемых файлов. Несмотря на их изначальную цель, упаковщики вскоре стали инструментом в руках авторов различных вредоносных программ. По подсчетам экспертов, до 80% вредоносных программ используют упаковщики и методы сжатия.

Большинство создателей вредоносных программ используют известные упаковщики, для которых есть обратные решения (распаковщики, unpackers), используемые разработчиками антивирусных решений в процессе сканирования. Тем не менее, существует ряд вредоносных приложений, которые пользуются упаковщиками, сделанными на заказ и неизвестными производителям антивирусных программ.

Windows использует технологию Authenticode для проверки происхождения и целостности двоичных файлов и сертификаты X.509 v3, чтобы привязать подписанный Authenticode двоичный файл к определенному издателю программного обеспечения.

Чтобы проверить целостность файла и убедиться, что он не был подделан, Windows также вычисляет его хэш и сравнивает его с хэшем, указанным в структуре SignedData. Тем не менее, исследователи обнаружили, что можно внедрить код без изменения сертификата.

«Поскольку Windows исключает три поля из вычислений хэша, мы можем вводить данные в таблицу сертификатов, не повреждая сертификат файла. Добавляя вредоносный контент в конец таблицы сертификатов, можно изменить файл без последствий» - утверждают исследователи.

По словам исследователей, этот метод позволяет вредоносному файлу пройти проверку антивирусными решениями, даже если он не использует шифрование. Таким образом, можно прятать вредоносный контент внутри других файлов.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »