अधिकांश एंटीवायरस को प्रतीकात्मक लिंक द्वारा निष्क्रिय किया जा सकता है

Darkcrizt

4 मिनट

evading- एंटीवायरस-सॉफ्टवेयर

कल, द RACK911 लैब्स के शोधकर्ता, मैं साझा करता हूंn उनके ब्लॉग पर, एक पोस्ट जिसमें उन्होंने जारी किया उनके अनुसंधान का हिस्सा है कि लगभग सभी दिखा रहा है के पैकेज विंडोज, लिनक्स और मैकओएस के लिए एंटीवायरस कमजोर थे मैलवेयर युक्त फ़ाइलों को हटाते समय दौड़ की स्थितियों में हेरफेर करने वाले हमलों पर।

अपनी पोस्ट में दिखाएँ कि किसी हमले को करने के लिए, आपको एक फ़ाइल डाउनलोड करनी होगी कि एंटीवायरस दुर्भावनापूर्ण के रूप में पहचानता है (उदाहरण के लिए, एक परीक्षण हस्ताक्षर का उपयोग किया जा सकता है) और एक निश्चित समय के बाद, एंटीवायरस दुर्भावनापूर्ण फ़ाइल का पता लगाने के बाद  इसे हटाने के लिए फ़ंक्शन को कॉल करने से तुरंत पहले, फ़ाइल कुछ परिवर्तन करने के लिए कार्य करती है।

सबसे एंटीवायरस प्रोग्राम जो ध्यान में नहीं रखते हैं, वह फ़ाइल के प्रारंभिक स्कैन के बीच का छोटा समय अंतराल है जो दुर्भावनापूर्ण फ़ाइल और क्लीनअप ऑपरेशन का पता लगाता है जो तुरंत बाद में किया जाता है।

दुर्भावनापूर्ण स्थानीय उपयोगकर्ता या मैलवेयर लेखक अक्सर निर्देशिका जंक्शन (विंडोज) या सिमलिंक (लिनक्स और मैकओएस) के माध्यम से एक दौड़ की स्थिति का प्रदर्शन कर सकता है जो एंटीवायरस सॉफ़्टवेयर को अक्षम करने या इसे संसाधित करने के लिए ऑपरेटिंग सिस्टम के साथ हस्तक्षेप करने के लिए विशेषाधिकार प्राप्त फ़ाइल संचालन का लाभ उठाता है।

विंडोज में डायरेक्टरी में बदलाव किया जाता है एक निर्देशिका में शामिल होने का उपयोग कर. जब लिनक्स और मैकोस पर, एक समान चाल हो सकती है निर्देशिका को "/ etc" लिंक में बदलना।

समस्या यह है कि लगभग सभी एंटीवायरस ने प्रतीकात्मक लिंक को सही ढंग से जांच नहीं किया है और यह देखते हुए कि वे एक दुर्भावनापूर्ण फ़ाइल को हटा रहे हैं, उन्होंने प्रतीकात्मक लिंक द्वारा इंगित निर्देशिका में फ़ाइल को हटा दिया।

लिनक्स और मैकओएस पर यह दिखाता है इस तरह से एक उपयोगकर्ता विशेषाधिकार के बिना कैसे आप सिस्टम से निकाल सकते हैं / etc / passwd या कोई अन्य फाइल और विंडोज में एंटीवायरस का डीडीएल पुस्तकालय अपने ऑपरेशन को ब्लॉक करने के लिए (विंडोज में, हमला केवल उन फ़ाइलों को हटाने तक सीमित है जो अन्य उपयोगकर्ता वर्तमान में उपयोग नहीं करते हैं) अनुप्रयोगों।

उदाहरण के लिए, एक हमलावर एक शोषण निर्देशिका बना सकता है और EpSecApiLib.dll फ़ाइल को वायरस परीक्षण हस्ताक्षर के साथ लोड कर सकता है और फिर मंच की स्थापना रद्द करने से पहले शोषण निर्देशिका को प्रतीकात्मक लिंक से बदल सकता है जो निर्देशिका से EpSecApiLib.dll पुस्तकालय को हटा देगा। एंटीवायरस

इसके अलावा, लिनक्स और मैकओएस के लिए कई एंटीवायरस ने पूर्वानुमानित फ़ाइल नामों के उपयोग का पता लगाया जब / tmp और / निजी tmp निर्देशिका में अस्थायी फ़ाइलों के साथ काम कर रहे हैं, जो रूट उपयोगकर्ता के लिए विशेषाधिकारों को बढ़ाने के लिए इस्तेमाल किया जा सकता है।

आज तक, अधिकांश प्रदाताओं ने पहले ही समस्याओं को समाप्त कर दिया है, लेकिन यह ध्यान दिया जाना चाहिए कि समस्या की पहली अधिसूचना 2018 के पतन में डेवलपर्स को भेजी गई थी।

विंडोज, मैकओएस और लिनक्स पर हमारे परीक्षणों में, हम महत्वपूर्ण एंटीवायरस से संबंधित फ़ाइलों को आसानी से हटाने में सक्षम थे जो इसे अप्रभावी प्रदान करते थे, और यहां तक ​​कि कुंजी ऑपरेटिंग सिस्टम फ़ाइलों को हटाते थे जो महत्वपूर्ण भ्रष्टाचार का कारण बनते थे जो ऑपरेटिंग सिस्टम के पूर्ण पुनर्स्थापना की आवश्यकता होगी।

भले ही हर किसी ने अपडेट जारी नहीं किया, लेकिन उन्हें कम से कम 6 महीने के लिए फिक्स मिला, और RACK911 लैब्स का मानना ​​है कि अब आपको कमजोरियों के बारे में जानकारी का खुलासा करने का अधिकार है।

यह ध्यान दिया जाता है कि RACK911 लैब्स लंबे समय से कमजोरियों की पहचान करने पर काम कर रहा है, लेकिन यह अनुमान नहीं लगाता है कि अपडेट जारी करने में देरी और तुरंत सुरक्षा के मुद्दों की आवश्यकता को अनदेखा करने के कारण एंटीवायरस उद्योग में सहयोगियों के साथ काम करना इतना मुश्किल होगा। ।

इस समस्या से प्रभावित उत्पादों का उल्लेख किया गया है निम्नलिखित के लिए:

Linux

  • बिटडिफेंडर ग्रेविटीजोन
  • कोमोडो समापन बिंदु सुरक्षा
  • Eset फ़ाइल सर्वर सुरक्षा
  • F- सिक्योर लिनक्स सिक्योरिटी
  • Kaspersy समापन बिंदु सुरक्षा
  • McAfee समापन बिंदु सुरक्षा
  • लिनक्स के लिए सोफोस एंटी-वायरस

Windows

  • अवास्ट मुफ्त विषाणु विरोधी
  • अविरा मुफ्त एंटीवायरस
  • बिटडिफेंडर ग्रेविटीजोन
  • कोमोडो समापन बिंदु सुरक्षा
  • F- सुरक्षित कंप्यूटर सुरक्षा
  • FireEye समापन बिंदु सुरक्षा
  • अवरोधक X (सोफोस)
  • Kaspersky समापन बिंदु सुरक्षा
  • विंडोज के लिए मैलवेयरवेयर
  • McAfee समापन बिंदु सुरक्षा
  • पांडा डोम
  • वेबरॉट सिक्योर एनीवेयर

MacOS

  • एवीजी
  • बिटडिफेंडर कुल सुरक्षा
  • एसेट साइबर सिक्योरिटी
  • इंटरनेट सुरक्षा
  • McAfee कुल संरक्षण
  • Microsoft के डिफेंडर (बीटा)
  • नॉर्टन सुरक्षा
  • सोफस होम
  • वेबरॉट सिक्योर एनीवेयर

Fuente: https://www.rack911labs.com


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।

  1.   गिलर्मोइवन कहा
    पूर्व 4 साल

    सबसे हड़ताली ... कैसे रामसमवेयर वर्तमान में फैल रहा है और एवी डेवलपर्स को एक पैच को लागू करने में 6 महीने लगते हैं ...

    गिलर्मोवन का उत्तर दें