谷歌警告说，黑客可以用一种新方法在Windows上检测不到恶意软件

网络安全研究人员披露了一种新技术，该技术由威胁行为人采用，借助恶意软件有效载荷的错误数字签名故意逃避检测。

谷歌威胁分析集团（Google Threat Analysis Group）的尼尔·梅塔（Neel Mehta）在周四发布的一篇文章中说：“攻击者创建了格式错误的代码签名，这些签名被Windows视为有效，但无法通过OpenSSL代码—；进行解码或检查。OpenSSL代码在许多安全扫描产品中使用。”。

据观察，这一新机制被一个臭名昭著的不受欢迎的软件家族OpenSUpdater利用，该软件被用来在受损系统上下载和安装其他可疑程序。该活动的大多数目标是美国用户，他们倾向于下载破解版本的游戏和其他灰色地带软件。

这些发现来自至少从8月中旬上传到VirusTotal的一组OpenSUpdater样本。

尽管过去的对手依靠非法获得的数字证书，通过恶意软件检测工具，或通过毒害软件供应链，将攻击代码嵌入数字签名、受信任的软件组件，将广告软件和其他不需要的软件偷偷带过，OpenSUpdater因故意使用格式错误的签名来逃避防御而脱颖而出。

这些工件使用无效的leaf X.509证书签名，该证书的编辑方式使SignatureAlgorithm字段的“parameters”元素包含内容结束（EOC）标记，而不是空标记。虽然使用OpenSSL检索签名信息的产品会拒绝使用这种编码，因为这种编码无效，但Windows系统上的检查将允许在没有任何安全警告的情况下运行该文件。

梅塔说：“这是TAG首次观察到演员使用这种技术来逃避检测，同时在PE文件上保留有效的数字签名。”。

“Windows可执行文件上的代码签名可以保证已签名可执行文件的完整性，以及有关签名者身份的信息。能够在签名中隐藏其身份而不影响签名完整性的攻击者可以避免更长时间的检测，并延长其代码签名证书的生命周期感染更多的系统。"