7/25/2019 De Cmo De Cmo El Malware Modifica Ejecutables Sin Alterar Su FirmaEl Malware Modifica Ejecutables Sin Altera

1/4

De cmo el malware modifica ejecutables sin alterar su firma

viernes, 24 de enero de 2014

Microsoft acaba de arreglar (a medias) un mtodo que permita alterar un ficherofirmado con uthenticode! Aunque el mtodo fue descubierto en 2009, no ha sido hasta

ahora, cuando se ha observado que ciertos programas han comenzado a usar la frmula, queha introducido una correccin (que todav!a no se activa por defecto)" "e trataba de

aprovechar un fallo de dise#o de uthenticode!#eamos cmo funcionaba"

$arios mtodos para cambiar la inte%ridad sin alterar la firma

$%ist!an varios mtodos para alterar una imagen de un binario firmado sin que el sistema se

que&ase de que la firma era incorrecta (de que se hab!a alterado su integridad)" $l parcheM'202*, de abril de 202, corrige algunos" +iene el #$2020- . lo descubrieron

/obert ace1 e gor 3luc1smann, de Avast" 4o se hab!a observado en mal5are a6n" 7eros! que e%ist!a un problema pendiente de arreglar" $l truco era mu. sencillo"

8a hemos hablado en varias ocasiones de Authenticodeen este blog" undamentalmente,

cuando se firma un binario, se calcula el hash de todo el flu&o de datos del menos al%unospeque#os huecos que &se salta&: ;a cabecera del fichero llamada

7/25/2019 De Cmo De Cmo El Malware Modifica Ejecutables Sin Alterar Su FirmaEl Malware Modifica Ejecutables Sin Altera

2/4

Cn fichero cualquiera firmado, . las cabeceras correspondientes" 'e ha modificado eltama>o de 9 a 92

$ste valor se repite m=s aba&o en el fichero, en la estructura

7?'DME@C;$D'34"d5;ength, que est= dentro del 7?'" $ncontrarlo es de nuevomu. sencillo" 'e halla &usto donde indique el offset de la cabecera 'ecurit. @irector. /#A"

'e modifica ah! de nuevo el valor del tama>o" 7asa de de 0%9 a 0%92"

$n ese mismo archivo (offset 00*Bc- indicado por 'ecurit. @irector. /#A) se modifica

el valor del tama>o 7?'

;uego, al final del fichero, se a>aden los b.tes necesarios con el te%to o datos que se desee"$n este caso, hemos a>adido B b.tes, comenzando por la palabra

7/25/2019 De Cmo De Cmo El Malware Modifica Ejecutables Sin Alterar Su FirmaEl Malware Modifica Ejecutables Sin Altera

3/4

irma correcta del fichero de prueba, aun habiendo modificado hasta tres puntos diferentes"/De qu sirve a#adir cdi%o ah ' por qu lo han corre%ido

$squema de cmo el mal5are se aprovechaba

de instaladores que acud!an al 7a.load para descargar

Microsoft ha reaccionado a este problema cuando se ha encontrado mal5are (o al menos,

pruebas de concepto) aprovechando el problema"@e hecho, parece que fue @idier 'tevensquien dio la voz de alarmaeste a>o" $ncontr instaladores firmados v=lidos, cu.o cdigo

acud!a a esa parte e%tra del fichero no firmado" h haban a#adido una 3 de la que

descar%aba otro ejecutable" $ste e&ecutable descargado .a no estaba firmado"

s, firmaban una sola ve un ejecutable, pero conse%uan que sirviera para muchas

instalaciones diferentes!'olo hab!a que cambiar la parte a>adida del binario, una C/; enel pa.load, sin volver a firmar (la integridad se manten!a) . apuntar a otra C/; donde se

descargaba otro cdigo" irma una vez, instala cualquier cosa" modo""" pero peligroso"

$l mal5are, sin embargo, ha visto en este mtodo del instalador una oportunidad de pasarcomo instalador v=lido de un tercero, firmado, . descargar mal5are a su gusto" ngenioso"

http://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspxhttp://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspxhttp://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspxhttp://blog.didierstevens.com/2013/08/13/a-bit-more-than-a-signature/http://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspxhttp://blogs.technet.com/b/srd/archive/2013/12/10/ms13-098-update-to-enhance-the-security-of-authenticode.aspxhttp://blog.didierstevens.com/2013/08/13/a-bit-more-than-a-signature/

7/25/2019 De Cmo De Cmo El Malware Modifica Ejecutables Sin Alterar Su FirmaEl Malware Modifica Ejecutables Sin Altera

4/4

/mo lo han corre%ido

$l parche M'G09 comprueba que, tras el bloque 7?' propiamente, no se encuentran

datos que no sean diferentes de cero" 'i es as!, la firma no ser= v=lida" @e&a abierta la puerta

a otros ataques, como reconoce la propia Microsoft, pero dependen .a de una mu. malapr=ctica de los desarrolladores (introduciendo datos no firmados en la propia estructura

7?'""")

*ero este parche no estar) activo hasta junio de 2014!'i se quiera activar .a, es

necesario realizar un cambio en el registro (a>adiendo un /$3D' en la ruta adecuada con

el valor indicado)"

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE!o"tw#reMi$roso"tCry%togr#%&yWintr'stCon"ig( )En#*+eCert,#ddingC&e$-))/)

$n los sitemas de B* bits, modificar adem=s para binarios compilados nativamente en este

arquitectura"

[HKEY_LOCAL_MACHINE!o"tw#reWow123NodeMi$roso"tCry%togr#%&yWintr'stCon"ig( )En#*+eCert,#ddingC&e$-))/)

8 reiniciar" +eniendo en cuenta los problemas criptogr=ficos que tuvo Microsoft con+helamea causa de una cadena de errores simples,""" deber!a haber reaccionado antes a

este problema . no tardar casi - a>os en solucionarlo"

http://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-usado.htmlhttp://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-usado.html