黑客利用Windows签名格式验证机制缺陷，绕过安全检测机制

最近的网络安全研究披露了黑客采用的一种新的攻击技术，该技术可以借助恶意软件有效载荷的格式错误的数字签名来故意逃避检测。攻击者创建了格式错误的代码签名，这些签名被 Windows 视为有效，但无法被 OpenSSL 代码解码或检查。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这种新机制缺陷被臭名昭著的OpenSUpdater垃圾软件家族利用，该软件家族用于在受感染的系统上下载和安装其他可疑程序。该活动的大多数目标是位于美国的用户，他们倾向于下载破解版的游戏和其他灰色地带软件。

不仅程序使用无效的子 X.509 证书进行签名，该证书的编辑方式使得SignatureAlgorithm字段的参数元素包含内容结束 (EOC) 标记而不是 NULL 标记。尽管此类编码作为使用 OpenSSL 检索签名信息的无效信息而被拒绝，但对 Windows 系统的检查将允许文件在没有任何安全警告的情况下运行。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，这是首次观察到恶意程序使用这种技术来逃避检测，同时在 PE 文件上保留有效的数字签名，Windows 可执行文件上的代码签名保证了签名可执行文件的完整性，以及有关签名者身份的信息。能够在不影响签名完整性的情况下隐藏签名中的身份的攻击者可以避免更长时间的检测并扩展他们的代码签名证书的生命周期来感染更多系统。