بیشتر آنتی ویروس ها را می توان با استفاده از پیوندهای نمادین غیرفعال کرد

evading-antivirus-software

دیروز ، محققان آزمایشگاه RACK911 ، من به اشتراک می گذارمn در وبلاگ خود ، پستی که در آن منتشر کردند بخشی از تحقیقات او نشان می دهد که تقریباً همه بسته های آنتی ویروس برای ویندوز ، لینوکس و macOS آسیب پذیر بودند به حملاتی که شرایط نژاد را دستکاری می کند در حالی که پرونده های حاوی بدافزار را حذف می کند.

در پست شما نشان می دهد که برای انجام حمله ، باید یک فایل را بارگیری کنید که آنتی ویروس مخرب تشخیص می دهد (به عنوان مثال می توان از امضای آزمایشی استفاده کرد) و پس از مدتی خاص ، پس از آنکه ویروس فایل مخرب را تشخیص داد  بلافاصله قبل از فراخوانی عملکرد برای حذف آن ، پرونده برای ایجاد تغییرات خاص عمل می کند.

آنچه بیشتر برنامه های آنتی ویروس در نظر نمی گیرند ، فاصله زمانی کم بین اسکن اولیه پرونده است که فایل مخرب را تشخیص می دهد و عملیات پاکسازی که بلافاصله پس از آن انجام می شود.

یک کاربر محلی مخرب یا نویسنده بدافزار اغلب می تواند از طریق یک اتصال دایرکتوری (ویندوز) یا پیوند نمادین (Linux و macOS) شرایط مسابقه را انجام دهد که با بهره گیری از عملیات پرونده های ممتاز ، نرم افزار آنتی ویروس را غیرفعال می کند یا برای پردازش آن با سیستم عامل تداخل می کند.

در ویندوز تغییر دایرکتوری ایجاد می شود با استفاده از فهرست پیوستن. در حین در Linux و Macos ، یک ترفند مشابه را می توان انجام داد تغییر فهرست به پیوند "/ و غیره".

مشکل این است که تقریباً همه آنتی ویروس ها پیوندهای نمادین را به درستی بررسی نکردند و با توجه به اینکه در حال پاک کردن یک فایل مخرب بودند ، آنها پرونده را در دایرکتوری نشان داده شده با پیوند نمادین حذف کردند.

در لینوکس و macOS نشان می دهد چگونه در این روش یک کاربر بدون امتیاز می توانید / etc / passwd یا هر پرونده دیگری را از سیستم حذف کنید و در ویندوز کتابخانه DDL آنتی ویروس برای جلوگیری از عملکرد آن (در ویندوز ، حمله فقط با حذف پرونده هایی که سایر کاربران در حال حاضر استفاده نمی کنند محدود می شود) برنامه ها).

به عنوان مثال ، یک مهاجم می تواند یک دایرکتوری سوits استفاده ایجاد کند و پرونده EpSecApiLib.dll را با امضای تست ویروس بارگیری کند و سپس قبل از حذف سیستم عامل که کتابخانه EpSecApiLib.dll را از فهرست حذف می کند ، پوشه بهره برداری را با پیوند نمادین جایگزین کند.

علاوه بر این، بسیاری از آنتی ویروس ها برای Linux و macOS استفاده از نام های قابل پیش بینی را نشان دادند هنگام کار با پرونده های موقت در دایرکتوری / tmp و / private tmp ، که می تواند برای افزایش امتیازات برای کاربر اصلی استفاده شود.

تا به امروز ، بیشتر ارائه دهندگان قبلاً مشکلات را برطرف کرده اند ، اما لازم به ذکر است که اولین اعلان های این مشکل در پاییز سال 2018 برای توسعه دهندگان ارسال شده است.

در آزمایشات خود بر روی ویندوز ، macOS و لینوکس ، ما توانستیم فایلهای مهم مربوط به آنتی ویروس را که بی نتیجه بودند ، به راحتی حذف کنیم و حتی پرونده های اصلی سیستم عامل را که باعث خراب شدن قابل توجهی می شوند و نیاز به نصب مجدد کامل سیستم عامل دارند ، حذف کنیم.

اگرچه هرکسی این به روزرسانی را منتشر نکرده است ، حداقل 6 ماه اصلاحیه دریافت کرده است و آزمایشگاه RACK911 معتقد است که شما اکنون حق دارید اطلاعات مربوط به آسیب پذیری را فاش کنید.

ذکر شده است که آزمایشگاه های RACK911 مدت طولانی است که در زمینه شناسایی آسیب پذیری کار می کنند ، اما پیش بینی نکرده است که به دلیل تأخیر در انتشار به روزرسانی ها و نادیده گرفتن نیاز به رفع فوری مسائل امنیتی ، کار با همکاران در صنعت آنتی ویروس بسیار دشوار باشد. .

از محصولات تحت تأثیر این مشکل ذکر شده است به موارد زیر:

لینـوکــس

  • BitDefender GravityZone
  • Comodo Endpoint Security
  • Eset File Security Security
  • F-Secure Linux Security
  • Kaspersy Endpoint Security
  • امنیت McAfee Endpoint
  • Sophos Anti-Virus برای لینوکس

ویندوز

  • ضد ویروس Avast Free
  • ضد ویروس رایگان Avira
  • BitDefender GravityZone
  • Comodo Endpoint Security
  • F-Secure Computer protection
  • FireEye Endpoint Security
  • رهگیری X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes برای ویندوز
  • امنیت McAfee Endpoint
  • گنبد پاندا
  • Webroot امن هر کجا

از MacOS

  • AVG
  • امنیت کامل BitDefender
  • امنیت سایبری Eset
  • کسپرسکی اینترنت سکیوریتی
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • امنیت نورتون
  • Sophos Home
  • Webroot امن هر کجا

Fuente: https://www.rack911labs.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

نظر بدهید ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   گیلرمویوان dijo

    چشمگیرترین ... این است که چگونه ramsomware در حال حاضر در حال گسترش است و توسعه دهندگان AV برای اجرای یک پچ 6 ماه به طول می انجامند ...