Винайдено спосіб обману будь-яких антивірусів

Розроблено методику підміни нейтрального коду, що не викликає жодних підозр, на шкідливу складову, яка дозволяє повністю знищити антивірус.

Вдалося створити спосіб обходу захисту, вбудованого в більшість популярних антивірусних продуктів.

Саме це заявили дослідники Якуб Бречко і Давид Матушек з команди веб-ресурсу Matousek.com.

Уразливі продукти "Лабораторії Касперського", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda і т. д.

Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерне оточення, коли один потік не в змозі відстежити дії паралельних потоків. У результаті можуть обдурити буквально будь-який Windows-антивірус.

Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін в ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущено під обліковим записом з обмеженими повноваженнями.

Разом з тим руткіт вимагає завантаження великого обсягу коду на машину, яка атакується, тому він не підходить, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливість виконання бінарного файлу на цільовому комп'ютері.

Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер може і зовсім знищити всі захисні бар'єри, повністю видаливши з системи антивірус.

Читайте також:

"Лабораторія Касперського" попереджає про новий вірус

Боротися з троянами будуть "цифрові мурашки"

Невідомий троян відкриває доступ до банківських паролів

Кіберзлочинці почали впроваджувати віруси на етапі розробки програмного забезпечення

Залиште свій коментар

Аватар
Залиште свій коментар

Коментарі до посту

Останні Перші Популярні Разом коментарів: