Symantec: Киберпреступники все чаще используют SHA-2-сертификаты
Главная » Новости

Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Олег Иванов 09 Октября 2017 - 07:58
...
Symantec: Киберпреступники все чаще используют SHA-2-сертификаты

Недавно в своем блоге компания Symantec отметила, что в атаках вредоносных программ наблюдается опасная тенденция использования украденных сертификатов SHA-2 для обеспечения того, чтобы вредоносы выглядели легитимными.

Этот новый подход авторов вредоносных программ обусловлен тем, что SHA-1 имеет множество проблем с безопасностью. Если злоумышленникам удастся заставить систему думать, что их код легитимен, то существует неплохая вероятность того, что эта вредоносная программа не будет детектирована.

Microsoft уже объявила о прекращении поддержки файлов, подписанных SHA-1, после 1 января 2016 года. Создатели вредоносных программ ответили на этот шаг добавлением украденных сертификатов SHA-2.

Symantec привела в пример старый банковский троян Trojan.Carberp.B, который был модифицирован как раз под новый алгоритм. В случае этого трояна, атака начинается с вредоносного вложения в электронном письме, имеющем тему «ATTN 00890», это рассчитано на людей, работающих в бухгалтерии.

Во вложении содержится вредоносный макрос, в котором используется шифр ROT13 +13/-13. Макрос вызывает загрузку вредоносного подписанного бинарного файла sexit.exe с сервера, размещенного на Маврикии. Затем Sexit.exe устанавливается, завершая процесс проникновения в систему.

Однако в SHA-2 тоже могут быть свои проблемы.

Исследователи обнаружили, что sexit.exe подписывается двумя сертификатами: один SHA-1, другой SHA-2. Цель использования двух сертификатов заключается в том, чтобы избежать обнаружения операционной системой. Использование только сертификата SHA-1 может не приниматься более новыми ОС, а если оставить лишь SHA-2, то старые системы (до Windows XP SP3) не примут его.

В использовании SHA-2 для злоумышленников есть дополнительное преимущество – он может предоставить резервную копию, если первичный сертификат SHA-1 признан недействительным и аннулирован.

Развитие новых походов показывает, как создатели вредоносных программ адаптируются к новым правилам относительно сертификатов. Эксперты прогнозируют, что использование SHA-2 будет развиваться и скоро, возможно, поразит многие организации.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

РСЧС предупредила москвичей об ограничениях на доступ к интернету
Яков Шпунт 05 Мая 2025 - 15:37
Соответствие законодательству РФ Общее
РСЧС предупредила москвичей об ограничениях на доступ к интернету

Единая государственная система предупреждения о чрезвычайных ситуациях (РСЧС) начала рассылать уведомления о возможных ограничениях доступа в интернет в период майских праздников.

Как указано в сообщениях, такие меры принимаются «в целях обеспечения безопасности праздничных мероприятий».

О получении такого уведомления сообщил, в частности, один из корреспондентов ТАСС.

«Возможны ограничения доступа в интернет в связи с обеспечением безопасности проходящих праздничных мероприятий», — говорится в сообщении.

Почти одновременно с рассылкой подобных оповещений произошёл массовый сбой в работе мобильных операторов и мессенджера Telegram.

Директор департамента расследований T.Hunter Игорь Бедеров в комментарии для «Газеты.Ru» заявил, что одной из целей таких ограничений является противодействие наведению дронов: «Дроны ориентируются по GPS-сигналу. В Москве и других крупных городах России, особенно в центральных районах, применяется GPS-спуфинг — подмена реального спутникового сигнала ложным, более мощным. В результате нарушается навигация, машины теряют позиционирование, такси затрудняются в поиске клиентов и т. п.

Однако геолокация определяется не только по GPS. Она также может вычисляться по сетям Wi-Fi и базовым станциям сотовой связи. Поэтому ограничение мобильного интернета и связи способно серьёзно осложнить наведение беспилотников».

Ранее ГУ МВД по Москве сообщило о введении в столице режима запрета полётов для всех видов летательных аппаратов, включая дроны. Граждан предупредили о возможной ответственности за нарушение этих ограничений.

Кроме того, отсутствие мобильной связи может осложнить или даже предотвратить попытки дистанционного подрыва взрывных устройств с использованием радиоканалов сотовой связи.

«Сигнал у нас передаётся по радиоканалу. GSM-сеть, та самая сотовая связь, — это и есть радиоканалы. Причём они самые массовые и дешёвые. Если подключить к взрывному устройству GSM-приёмник, можно передавать команды с помощью смартфона, обычного мобильника или даже пейджера. Глушение мобильной связи исключает такую возможность», — пояснил Игорь Бедеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
США, Великобритания и Австралия ввели санкции против Zservers и его админов
Новость
США, Великобритания и Австралия ввели санкции против Zserver...
Зарубежные компании вдвое увеличили наём российских ИТ-специалистов
Новость
Зарубежные компании вдвое увеличили наём российских ИТ-специ...
Из-за атаки автобусы Мострансавто пропали с карт
Новость
Из-за атаки автобусы Мострансавто пропали с карт

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.