Намерен е начин за заобикаляне на всеки антивирус

Изследователите Акуб Бречка и Давид Матушек от сайта Matousek.com твърдят, че са успели да създадат начин за заобикаляне на защитата, вградена в повечето популярни настолни антивирусни продукти. Уязвими са антивирусите Касперски, Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и др.

Методът е такъв – на входа на антивируса се изпраща безвреден код, който минава всички защитни бариери, но преди да започне да се изпълнява, той се подменя с вреден код. Ясно е, че замяната трябва да стане в точно определен момент, но на практика всичко се опростява благодарение на това, че съвременните системи разполагат с многоядрено обкръжение, когато един поток не е в състояние да проследи действията на паралелните потоци. В резултат може да бъде измамен буквално всеки Windows антивирус.

Рууткитът функционира в този случай, когато антивирусният софтуер използва System Service Descriptor Table (SSDT) за внасяне на промени в ядрото на операционната система. Тъй като всички съвременни защитни средства оперират на ниво ядро, атаката работи на 100%, при това даже в случаите, когато Windows работи в потребителски акаунт с ограничени пълномощия.

В същото време, рууткитът изисква зареждане на голям обем код на атакуваната машина, затова не е приложим когато е нужно да се запази скорост и незабележимост на атаката. Освен това, хакерът трябва да разполага с възможност за изпълнение на двоичен файл на компютъра-цел.

Методът може да бъде комбиниран с традиционна атака на уязвима версия на Acrobat Reader или Sun Java Virtual Machine, без да се събуждат подозренията на антивируса. След това хакерът е свободен да премахне всички бариери като изцяло изтрие пречещият му антивирус.

Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.