Шокирующий способ доставки вредоносного кода через TLS-сертификат: что это и как противостоять?

28 июля 2025 г.

Вступление

В последнее время стало известно о возможности доставки вредоносного кода через TLS-сертификат. Это стало возможным благодаря тому, что сертификат может содержать нестандартные расширения, которые могут быть использованы для доставки вредоносного кода. В этом материале мы подробно рассмотрим, как это работает и как противостоять этому.

Кстати, вспомним японский хокку: "В воде отражается луна, но кто знает, что на дне?"

Пересказ Reddit-поста

Автор поста на Reddit продемонстрировал, как можно внедрить полноценный исполняемый файл Windows в расширение X.509-сертификата и доставить его через HTTPS. Когда клиент подключается и получает сертификат, он может извлечь и выполнить двоичный файл локально, без необходимости в традиционном скачивании или HTTP-запросе.

Суть проблемы и хакерский подход

Проблема заключается в том, что многие прокси-серверы, выполняющие SSL-инспекцию, заменяют серверный сертификат собственным, при этом удаляя все нестандартные расширения, включая тот, который содержит вредоносный код. Однако, если прокси-сервер не выполняет SSL-инспекцию, то вредоносный код может быть доставлен клиенту.

Детальный разбор проблемы

Комментаторы на Reddit отметили, что это не новый способ доставки вредоносного кода и что есть решения, которые защищают от этого, но они не идеальны. Также было отмечено, что это может быть использовано в командно-контрольных фреймворках для доставки команд.

Практические примеры и кейсы

На практике это может быть использовано для доставки вредоносного кода на клиентские машины, что может привести к серьезным последствиям для безопасности. Поэтому важно понимать, как это работает и как противостоять этому.

Экспертные мнения из комментариев

Это фактически хороший способ, и я это говорю, как защитник. Многие организации не делают TLS-инспекцию или даже не проверяют сертификаты. - GoranLind

Возможные решения и рекомендации

Чтобы противостоять этому, необходимо выполнять SSL-инспекцию на прокси-сервере и проверять сертификаты на клиентских машинах. Также необходимо использовать решения, которые защищают от доставки вредоносного кода через TLS-сертификат.

Заключение с прогнозом развития

В заключение, доставка вредоносного кода через TLS-сертификат является серьезной угрозой для безопасности. Поэтому важно понимать, как это работает и как противостоять этому. В будущем ожидается, что это станет более распространенным способом доставки вредоносного кода, поэтому необходимо быть готовым к противодействию.

# Импортируем необходимые библиотеки
import OpenSSL

# Создаем X.509-сертификат
cert = OpenSSL.crypto.X509()
cert.set_version(2)
cert.set_serial_number(1)
cert.set_notBefore(b"20220101000000Z")
cert.set_notAfter(b"20300101000000Z")

# Добавляем нестандартное расширение
ext = OpenSSL.crypto.X509_EXTENSION(b"1.2.3.4", b"Hello, world!")
cert.add_extension(ext)

# Создаем двоичный файл
binary_data = b"Hello, world!"

# Добавляем двоичный файл в сертификат
cert.add_extension(OpenSSL.crypto.X509_EXTENSION(b"1.2.3.5", binary_data))

# Выводим сертификат
print(cert)

В этом примере мы создаем X.509-сертификат с нестандартным расширением, которое содержит двоичный файл. Это демонстрирует, как можно доставить вредоносный код через TLS-сертификат.

---

Оригинал