100% уязвимость известных антивирусных программ.

Aleksan · 19.05.2010, 04:54

Исследователи из проекта Matousec.com компании Different Internet Experience сообщили, что им удалось разработать принципиально новый способ для обхода антивирусной защиты. С помощью разработанных приемов создатели вредоносного кода могут предъявить антивирусу на проверку не вызывающий подозрений код, а затем моментально заменить этот код в памяти на гораздо более опасную программу, способную выполнить даже такие действия, как полное уничтожение антивируса без прав администратора.
Новое открытие основано на том, что подавляющее большинство современных антивирусов используют для анализа файлов и исполняемого кода специальные драйверные перехватчики, скрытые в самых глубинах операционной системы. В прежние времена, когда все операции обрабатывались единым потоком, атакующим пришлось бы немало потрудиться, чтобы своевременно вставить вредоносный код на место только что проверенного фрагмента, но сейчас многоядерные процессоры привели к тому, что один поток обработки (тренд) часто не может отследить работу других трендов. В результате практически все современные антивирусные пакеты для Windows можно обмануть и пропустить через них вредоносный код, который в иных условиях будет полностью блокирован. Механизм, помогающий обходить системные механизмы безопасности, которые используют антивирусные продукты, получил название KHOBE (Kernel HOok Bypassing Engine – механизм обхода перехватчиков ядра), а сам метод назван «argument-switch»(подмена аргумента).
Все что нужно для обмана антивирусных программ по новому методу, это чтобы антивирус использовал для изменения ядра операционной системы перехватчики (hook) из таблицы дескрипторов системных служб SSDT (System Service Descriptor Table). По результатам проведенного теста уязвимости оказались подвержены 100% из 34 проверенных продуктов. Кроме того, для выполнения вредоносных действий достаточно, чтобы пользователь вошел под учетной записью, не имеющей полномочий администратора.
Конечно, у нового метода есть серьезные ограничения. Для атаки необходимо поместить на машину большой объем кода, так что новый метод не подойдет для атак с помощью консольных сценариев или атак, где главным фактором успеха является быстрота и незаметность. Фактически, атака по новому методу возможна только тогда, когда атакующий имеет реальную возможность для запуска двоичных исполняемых файлов на атакуемой машине.
Новую технику атаки можно сочетать с использованием уязвимостей в других программах, например, в уязвимых версиях Adobe Reader или Oracle JVM (Java Virtual Machine) – с помощью такой комплексной атаки можно внести на машину вредоносный код, не вызывая подозрений у антивирусной программы. Если разработчику вредоносного кода удастся своевременно подменить содержание проверяемого файла, код вируса может полностью уничтожить установленный и корректно работающий антивирус, обойдя системные перехваты событий в собственном тренде и не используя полномочия администратора.
matousec.com

Будьте осторожны.

Longrem · 18.06.2010, 09:58

а подробную ссылку можно?

Валерий · 18.06.2010, 10:03

matousec.com

Матроскин · 18.06.2010, 11:12

Все приплыли... Переходим на linux

19.05.2010, 04:54	#1 (permalink)
Aleksan IT - Specialist Регистрация: 08.12.2007 Сообщений: 6,815 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 6316	100% уязвимость известных антивирусных программ. Исследователи из проекта Matousec.com компании Different Internet Experience сообщили, что им удалось разработать принципиально новый способ для обхода антивирусной защиты. С помощью разработанных приемов создатели вредоносного кода могут предъявить антивирусу на проверку не вызывающий подозрений код, а затем моментально заменить этот код в памяти на гораздо более опасную программу, способную выполнить даже такие действия, как полное уничтожение антивируса без прав администратора. Новое открытие основано на том, что подавляющее большинство современных антивирусов используют для анализа файлов и исполняемого кода специальные драйверные перехватчики, скрытые в самых глубинах операционной системы. В прежние времена, когда все операции обрабатывались единым потоком, атакующим пришлось бы немало потрудиться, чтобы своевременно вставить вредоносный код на место только что проверенного фрагмента, но сейчас многоядерные процессоры привели к тому, что один поток обработки (тренд) часто не может отследить работу других трендов. В результате практически все современные антивирусные пакеты для Windows можно обмануть и пропустить через них вредоносный код, который в иных условиях будет полностью блокирован. Механизм, помогающий обходить системные механизмы безопасности, которые используют антивирусные продукты, получил название KHOBE (Kernel HOok Bypassing Engine – механизм обхода перехватчиков ядра), а сам метод назван «argument-switch»(подмена аргумента). Все что нужно для обмана антивирусных программ по новому методу, это чтобы антивирус использовал для изменения ядра операционной системы перехватчики (hook) из таблицы дескрипторов системных служб SSDT (System Service Descriptor Table). По результатам проведенного теста уязвимости оказались подвержены 100% из 34 проверенных продуктов. Кроме того, для выполнения вредоносных действий достаточно, чтобы пользователь вошел под учетной записью, не имеющей полномочий администратора. Конечно, у нового метода есть серьезные ограничения. Для атаки необходимо поместить на машину большой объем кода, так что новый метод не подойдет для атак с помощью консольных сценариев или атак, где главным фактором успеха является быстрота и незаметность. Фактически, атака по новому методу возможна только тогда, когда атакующий имеет реальную возможность для запуска двоичных исполняемых файлов на атакуемой машине. Новую технику атаки можно сочетать с использованием уязвимостей в других программах, например, в уязвимых версиях Adobe Reader или Oracle JVM (Java Virtual Machine) – с помощью такой комплексной атаки можно внести на машину вредоносный код, не вызывая подозрений у антивирусной программы. Если разработчику вредоносного кода удастся своевременно подменить содержание проверяемого файла, код вируса может полностью уничтожить установленный и корректно работающий антивирус, обойдя системные перехваты событий в собственном тренде и не используя полномочия администратора. matousec.com Будьте осторожны.

18.06.2010, 10:03	#3 (permalink)
Валерий Member Регистрация: 11.04.2007 Адрес: Санкт-Петербург Сообщений: 40,320 Записей в дневнике: 73 Сказал(а) спасибо: 885 Поблагодарили 2,792 раз(а) в 431 сообщениях Репутация: 186775	matousec.com __________________ Пингвин птица гордая, пока не пнёшь - не полетит.

18.06.2010, 11:12	#4 (permalink)
Матроскин 4846АМ Регистрация: 07.05.2010 Сообщений: 1,941 Записей в дневнике: 22 Сказал(а) спасибо: 3 Поблагодарили 4 раз(а) в 3 сообщениях Репутация: 7564	Все приплыли... Переходим на linux __________________ Человек будет свободен до тех пор, пока дважды два равно четырем

18.06.2010, 09:58	#2 (permalink)
Longrem Member Регистрация: 10.06.2010 Сообщений: 12 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	а подробную ссылку можно?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070