恶意程式使用新的签章手法躲避Windows检查

骇客手法日新月异，Google安全研究人员警告现在又有恶意程式以变造签章躲避安全产品侦测的新手法，而且曾经骗过Windows。微软则说这不是Windows安全漏洞，它的安全产品已经可以侦测到。

Google威胁分析小组最近发现一只Google使用了一种变形程式码签章，无法被安全扫描产品扫描或解析，但又会被Windows判别为合法程式，Google相信是以窃取金钱为目的的攻击者（如银行木马或勒索软件）开发出来躲避安全扫描的新手法。

OpenSUdpater是一个垃圾软件家族，常被骇客用来下载和安装其他可疑程式到用户装置。它背后组织的攻击模式是尽可能散布与感染大量用户，没有特定目标，但常挑选寻找破解版游戏及灰色软件的使用者，大部分流传于美国境内。

Google研究人员Neel Mehta解释，OpenSUpdater过去经常取得同一个合法凭证单位的凭证来签章，以取信于Windows。但8月中他们发现的OpenSUpdater样本却使用无效签章。这些签章经过编辑，在EOC (End of Content) marker中以NULL标签，取代签发X.509叶凭证的SignatureAlgorithm的“参数”。

研究人员解释，EoC marker一般情况下是用于不特定长度的编码，但在此却用在限定长度的编码。一般使用OpenSSL来检查签章资讯的安全扫描产品，会视之为无效编码而拒绝，但是其他允许这类编码的程式码解析器，例如Windows中的解析器，就会视之为合法且有效签章，允许它下载及执行。

图片来源_Google

这是Google研究人员第一次看到用此类手法躲避侦测，又能在PE档案保留有效签章的案例。Google之后又发现OpenSUpdater尝试其他变种编码来躲避侦测。

研究人员表示，已和Google安全上网（Safe Browsing）部门合作更新有害网站黑名单，以防止它继续散布有害程式。

Google以Windows为例说明这类手法可骗过签章检查，微软则表示已经注意到了。但微软强调，这并不是安全漏洞，也没有计划释出安全更新来“修补”。

微软说，Microsoft Defender防毒产品已经可以侦测并且移除OpenSUpdater。