Construir um caso de negócio: desenvolvimento de aplicativos personalizados
Seja grato é apenas uma prova de conceito de um truque: pesquisadores alemães demonstraram que os mecanismos de distribuição de software da Internet pode ser transformado em vetores de vírus, sem modificar o código original.
Os boffins Universidade Ruhr - Felix Grobert, Ahmad-Reza Sadeghi e Marcel Winandy - é um mecanismo on-the-fly para injeção de código em um download. Como eles escrevem em seu artigo ( PDF ) hospedado no packetstorm:
"Nosso algoritmo implementa rotinas de infecção por vírus e ataques de redirecionamento de rede, sem a necessidade de modificar o próprio aplicativo. Isto permite ainda infectar executáveis com uma assinatura incorporado quando a assinatura não é automaticamente verificada antes da execução. "
Eles usam o que eles chamam de um aglutinante para concatenar a aplicação original, o ligante, eo código malicioso. "Ao iniciar o aplicativo infectado o ligante é iniciado. Ele analisa seu próprio arquivo para arquivos executáveis embutidos adicionais, reconstrói e executa-los, opcionalmente, invisível para o usuário ", escrevem eles.
Uma vez que o aplicativo está intacta ", pode-se anexar o malware mesmo para um executável com uma assinatura incorporado e ainda ter sucesso ao executar o malware em determinadas circunstâncias".
Os dois componentes da prova de conceito são chamados Cyanid (para buscar, modificar e filtrar os downloads de HTTP) e Cálcio, o ligante que infecta os binários.
Um ataque bem sucedido depende acima de tudo da capacidade de redirecionar o tráfego, como mostrado abaixo.
Redirecionamento de tráfego mais injeção de malware é igual a problema. Image: Universidade Ruhr
Os governos, as notas de papel, poderia estar em uma posição de explorar os nós da rede entre o emissor eo receptor para seqüestrar o tráfego (ou, para essa matéria, roteadores vulneráveis poderiam ser explorados para o mesmo fim).
Para mitigar esses ataques, dizem os pesquisadores, distribuidores de software precisam reforçar seus mecanismos de entrega, para se defender contra interceptações de tráfego. OpenVPN, IPSec ou HTTPS ajudaria aqui, afirmam.
A assinatura de código na sua forma actual não ajuda muito, eles sugerem, porque enquanto o usuário ou OS poderia verificar um hash code ", os valores de referência teria de ser obtida através de um canal confiável" - o que pode não ser o caso.
O software anti-vírus pode ser modificado para se verificar a existência de comportamento aglutinante, acrescentam, e "virtualização confiável" arquiteturas também pode ajudar, uma vez que o, o processo de inicialização segura verificável ajuda a isolar aplicações críticas. ®
Nenhum comentário:
Postar um comentário