ほとんどのアンチウイルスは、シンボリックリンクを使用して無効にできます

Darkcrizt

4分

回避-アンチウイルス-ソフトウェア

昨日、 RACK911ラボの研究者、私は共有しますn彼らのブログ、彼らがリリースした投稿 彼の研究の一部は、ほとんどすべてが のパッケージ Windows、Linux、macOSのアンチウイルスは脆弱でした マルウェアを含むファイルを削除しながら競合状態を操作する攻撃に対して。

あなたの投稿で 攻撃を実行するには、ファイルをダウンロードする必要があることを示します アンチウイルスが悪意のあるものとして認識し(たとえば、テスト署名を使用できる)、 一定時間後、アンチウイルスが悪意のあるファイルを検出した後  関数を呼び出して削除する直前に、ファイルは特定の変更を加えるように機能します。

ほとんどのウイルス対策プログラムが考慮していないのは、悪意のあるファイルを検出するファイルの最初のスキャンとその直後に実行されるクリーンアップ操作の間の短い時間間隔です。

悪意のあるローカルユーザーまたはマルウェアの作成者は、ディレクトリジャンクション(Windows)またはシンボリックリンク(LinuxおよびmacOS)を介して競合状態を実行し、特権ファイル操作を利用してウイルス対策ソフトウェアを無効にしたり、オペレーティングシステムに干渉して処理したりすることがよくあります。

Windowsでは、ディレクトリが変更されます ディレクトリ結合を使用する. つつ LinuxとMacosでは、 同様のトリックを行うことができます ディレクトリを「/ etc」リンクに変更します。

問題は、ほとんどすべてのアンチウイルスがシンボリックリンクを正しくチェックせず、悪意のあるファイルを削除していることを考慮して、シンボリックリンクで示されるディレクトリ内のファイルを削除したことです。

LinuxとmacOSでは表示されます どのようにこのように特権のないユーザー / etc / passwdまたはその他のファイルをシステムから削除できます また、WindowsではアンチウイルスのDDLライブラリがその操作をブロックします(Windowsでは、攻撃は他のユーザーが現在使用していないファイルを削除することによってのみ制限されます)。

たとえば、攻撃者はエクスプロイトディレクトリを作成し、ウイルステストシグネチャを含むEpSecApiLib.dllファイルをロードしてから、プラットフォームをアンインストールする前にエクスプロイトディレクトリをシンボリックリンクに置き換えると、ディレクトリからEpSecApiLib.dllライブラリが削除されます。

さらに、 LinuxおよびmacOSの多くのアンチウイルスは、予測可能なファイル名の使用を明らかにしました / tmpおよび/ private tmpディレクトリー内の一時ファイルを操作する場合。これは、rootユーザーの特権を増やすために使用できます。

現在まで、ほとんどのプロバイダーはすでに問題を解消しています。 ただし、問題の最初の通知は2018年の秋に開発者に送信されたことに注意してください。

Windows、macOS、およびLinuxでのテストでは、効果がなくなった重要なウイルス対策関連ファイルを簡単に削除できました。さらに、オペレーティングシステムの完全な再インストールが必要になる重大な破損を引き起こす可能性のある主要なオペレーティングシステムファイルも削除できました。

全員がアップデートをリリースしたわけではありませんが、少なくとも6か月間修正を受け取りました。また、RACK911 Labsは、脆弱性に関する情報を開示する権利があると考えています。

RACK911 Labsは長い間脆弱性の特定に取り組んできましたが、更新のリリースが遅れ、セキュリティの問題を緊急に修正する必要性を無視しているため、ウイルス対策業界の同僚と協力することがそれほど難しいとは予想していませんでした。 。

この問題の影響を受ける製品のうち、 以下に:

Linux

  • BitDefender GravityZone
  • コモドエンドポイントセキュリティ
  • Esetファイルサーバーのセキュリティ
  • F-Secure Linuxセキュリティ
  • Kaspersyエンドポイントセキュリティ
  • マカフィーエンドポイントセキュリティ
  • Linux用SophosAnti-Virus

Windows

  • アバスト無料アンチウイルス
  • Avira無料アンチウイルス
  • BitDefender GravityZone
  • コモドエンドポイントセキュリティ
  • F-Secureコンピュータ保護
  • FireEyeエンドポイントセキュリティ
  • インターセプトX(ソフォス)
  • Kaspersky Endpoint Security
  • Windows用のMalwarebytes
  • マカフィーエンドポイントセキュリティ
  • パンダドーム
  • ウェブルート セキュア エニウェア

MacOSの

  • AVG
  • BitDefenderトータルセキュリティ
  • EsetCyber​​ Security
  • カスペルスキーインターネットセキュリティ
  • マカフィートータルプロテクション
  • Microsoft Defender(ベータ版)
  • ノートンセキュリティ
  • ソフォスホーム
  • ウェブルート セキュア エニウェア

出典 https://www.rack911labs.com


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ギレルモイヴァン
    HACE 4年

    最も印象的なのは...ランサムウェアが現在どのように普及しているか、そしてAV開発者がパッチを実装するのに6か月かかることです...

    guillermoivanに返信する