ניתן להשבית את מרבית האנטי-וירוס באמצעות קישורים סימבוליים

התחמקות- תוכנת אנטי-וירוס

אתמול, חוקרי מעבדות RACK911, אני משתףn בבלוג שלהם, פוסט בו הם פרסמו חלק מהמחקר שלו מראה שהכל כמעט החבילות של אנטי-וירוס עבור Windows, Linux ו- MacOS היו פגיעים להתקפות המניפולציות בתנאי המירוץ תוך הסרת קבצים המכילים תוכנות זדוניות.

בפוסט שלך להראות שכדי לבצע התקפה, עליך להוריד קובץ שהאנטי-וירוס מזהה כזדוני (למשל, ניתן להשתמש בחתימת בדיקה) ו- לאחר זמן מסוים, לאחר שהאנטי-וירוס מזהה את הקובץ הזדוני  מיד לפני שהוא קורא לפונקציה כדי להסיר אותה, הקובץ פועל לבצע שינויים מסוימים.

מה שרוב תוכניות האנטי-וירוס לא לוקחות בחשבון הוא מרווח הזמן הקטן בין הסריקה הראשונית של הקובץ שמזהה את הקובץ הזדוני לבין פעולת הניקוי שמתבצעת מיד לאחר מכן.

משתמש מקומי זדוני או מחבר תוכנות זדוניות יכול לעיתים קרובות לבצע תנאי מירוץ דרך צומת ספריות (Windows) או symlink (Linux ו- macOS) המנצל את פעולות הקבצים המיוחסות להשבית תוכנת אנטי-וירוס או להפריע עם מערכת ההפעלה כדי לעבד אותה.

ב- Windows מתבצע שינוי בספריה באמצעות ספריה להצטרף. בעוד ב- Linux וב- Macos, ניתן לעשות טריק דומה שינוי הספריה לקישור "/ etc".

הבעיה היא שכמעט כל האנטי-וירוס לא בדק נכון את הקישורים הסמליים ובהתחשב בכך שהם מוחקים קובץ זדוני, הם מחקו את הקובץ בספריה שמצוין על ידי הקישור הסמלי.

ב- Linux ו- MacOS זה נראה איך בדרך זו משתמש ללא הרשאות אתה יכול להסיר / etc / passwd או כל קובץ אחר מהמערכת וב- Windows ספריית DDL של האנטי-וירוס לחסימת פעולתו (ב- Windows, ההתקפה מוגבלת רק על ידי מחיקת קבצים שמשתמשים אחרים אינם משתמשים כרגע) ביישומים).

לדוגמה, תוקף יכול ליצור ספריית ניצולים ולהעמיס את קובץ EpSecApiLib.dll בחתימת בדיקת הנגיף ואז להחליף את ספריית הניצולים בקישור הסמלי לפני הסרת ההתקנה של הפלטפורמה שתסיר את ספריית EpSecApiLib.dll מהספרייה. אנטי-וירוס.

בנוסף, אנטי-וירוס רבים עבור Linux ו- MacOS חשפו את השימוש בשמות קבצים צפויים כשעובדים עם קבצים זמניים בספריה / tmp ו / private tmp, שניתן להשתמש בהם כדי להגדיל את ההרשאות עבור משתמש השורש.

עד היום, רוב הספקים כבר ביטלו את הבעיות, אך יש לציין כי ההודעות הראשונות על הבעיה נשלחו למפתחים בסתיו 2018.

בבדיקות שלנו בנושא Windows, macOS ו- Linux הצלחנו להסיר בקלות קבצים חשובים הקשורים לאנטי-וירוס שהפכו אותו ללא יעיל, ואף להסיר קבצי מפתח של מערכת ההפעלה שיגרמו לשחיתות משמעותית שתדרוש התקנה מוחלטת של מערכת ההפעלה.

למרות שלא כולם פרסמו את העדכונים, הם קיבלו תיקון למשך 6 חודשים לפחות, ו- RACK911 Labs מאמין שיש לך כעת את הזכות לחשוף מידע על נקודות תורפה.

יצוין כי מעבדות RACK911 עובדות על זיהוי נקודות תורפה במשך זמן רב, אך לא צפו כי יהיה כה קשה לעבוד עם עמיתים בתעשיית האנטי-וירוס עקב שחרור עדכונים של העדכונים והתעלמות מהצורך לפתור דחיפות בעיות אבטחה.

מהמוצרים המושפעים מבעיה זו מוזכרים לדברים הבאים:

לינוקס

  • BitDefender GravityZone
  • קומודו אבטחת קצה
  • אבטחת שרת הקבצים Eset
  • אבטחת לינוקס F-Secure
  • אבטחת נקודות קצה של קספרסי
  • McAfee Endpoint Security
  • Sophos Anti-Virus ל- Linux

Windows

  • אנטי וירוס בחינם Avast
  • אנטי-וירוס חינם של Avira
  • BitDefender GravityZone
  • קומודו אבטחת קצה
  • הגנת F-Secure Computer
  • אבטחת נקודות קצה של FireEye
  • יירט X (סופוס)
  • אבטחת נקודות קצה של קספרסקי
  • Malwarebytes עבור Windows
  • McAfee Endpoint Security
  • כיפת פנדה
  • Webroot מאובטח בכל מקום

MacOS

  • AVG
  • ביטחון מוחלט של BitDefender
  • אסט אבטחת סייבר
  • קספרסקי אינטרנט סקיוריטי
  • הגנה מקיפה של McAfee
  • Microsoft Defender (ביטא)
  • נורטון
  • סופוס
  • Webroot מאובטח בכל מקום

מקור: https://www.rack911labs.com


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

תגובה, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   גילרמויבן דיג'ו

    המדהים ביותר ... הוא כיצד ramsomware מתפשט כרגע וכי למפתחי AV לוקח 6 חודשים ליישם תיקון ...