대부분의 바이러스 백신은 심볼릭 링크를 사용하여 비활성화 할 수 있습니다.

Darkcrizt

4 분

안티 바이러스 소프트웨어 회피

어제 RACK911 연구소 연구원, 나는 공유n 블로그에 게시 한 게시물 그의 연구의 일부는 거의 모든 패키지 Windows, Linux 및 macOS 용 바이러스 백신이 취약했습니다. 멀웨어가 포함 된 파일을 제거하는 동안 경쟁 조건을 조작하는 공격.

게시물에서 공격을 수행하려면 파일을 다운로드해야 함을 보여줍니다. 바이러스 백신이 악성으로 인식 (예 : 테스트 서명을 사용할 수 있음) 및 일정 시간 후 바이러스 백신이 악성 파일을 탐지 한 후  제거하기 위해 함수를 호출하기 직전에 파일은 특정 변경을 수행하는 역할을합니다.

대부분의 바이러스 백신 프로그램에서 고려하지 않는 것은 악성 파일을 탐지하는 파일의 초기 검사와 그 직후에 수행되는 정리 작업 사이의 짧은 시간 간격입니다.

악의적 인 로컬 사용자 또는 맬웨어 작성자는 종종 권한있는 파일 작업을 활용하여 바이러스 백신 소프트웨어를 비활성화하거나 방해하는 디렉터리 접합 (Windows) 또는 심볼릭 링크 (Linux 및 macOS)를 통해 경쟁 조건을 수행 할 수 있습니다. 처리 할 운영 체제와 함께.

Windows에서는 디렉토리가 변경됩니다. 디렉토리 결합 사용. 동안 Linux 및 Macos에서 비슷한 트릭을 할 수 있습니다 디렉토리를 "/ etc"링크로 변경합니다.

문제는 거의 모든 바이러스 백신이 심볼릭 링크를 올바르게 검사하지 않았고 악성 파일을 삭제하고 있다는 점을 고려하여 심볼릭 링크로 표시된 디렉토리에서 파일을 삭제했다는 것입니다.

Linux 및 macOS에서는 이런 식으로 권한이없는 사용자는 시스템에서 / etc / passwd 또는 다른 파일을 제거 할 수 있습니다. Windows에서는 바이러스 백신의 DDL 라이브러리가 작동을 차단합니다 (Windows에서는 다른 사용자가 현재 사용하지 않는 파일을 삭제하는 것만으로 공격이 제한됨).

예를 들어 공격자는 exploits 디렉터리를 만들고 바이러스 테스트 서명이 포함 된 EpSecApiLib.dll 파일을로드 한 다음 디렉터리에서 EpSecApiLib.dll 라이브러리를 제거하는 플랫폼을 제거하기 전에 exploits 디렉터리를 심볼릭 링크로 바꿀 수 있습니다. 바이러스 백신.

또한, Linux 및 macOS 용 많은 바이러스 백신에서 예측 가능한 파일 이름 사용이 밝혀졌습니다. / tmp 및 / private tmp 디렉토리의 임시 파일로 작업 할 때 루트 사용자의 권한을 높이는 데 사용할 수 있습니다.

지금까지 대부분의 제공 업체는 이미 문제를 해결했습니다. 그러나 문제에 대한 첫 번째 알림은 2018 년 가을에 개발자에게 전송되었습니다.

Windows, macOS 및 Linux에 대한 테스트에서 우리는 비효율적으로 만드는 중요한 바이러스 백신 관련 파일을 쉽게 제거 할 수 있었고 운영 체제를 완전히 재설치해야하는 심각한 손상을 일으킬 수있는 주요 운영 체제 파일도 제거 할 수있었습니다.

모든 사람이 업데이트를 발표하지는 않았지만 최소 6 개월 동안 수정 사항을 받았으며 RACK911 Labs는 이제 귀하가 취약성에 대한 정보를 공개 할 권리가 있다고 믿습니다.

RACK911 Labs는 오랫동안 취약성을 식별하기 위해 노력해 왔지만 업데이트 릴리스가 지연되고 보안 문제를 긴급하게 수정할 필요성을 무시하여 바이러스 백신 업계의 동료와 협력하는 것이 그렇게 어려울 것이라고 예상하지 않았습니다. .

이 문제의 영향을받는 제품 중 언급 다음에 :

Linux

  • 빗디펜더 그래비티존
  • 코모도 엔드 포인트 보안
  • Eset 파일 서버 보안
  • F- 보안 리눅스 보안
  • 카스퍼시 엔드포인트 시큐리티
  • McAfee 엔드 포인트 보안
  • Linux 용 Sophos Anti-Virus

Windows

  • Avast 무료 안티 바이러스
  • Avira 무료 안티 바이러스
  • 빗디펜더 그래비티존
  • 코모도 엔드 포인트 보안
  • F-Secure 컴퓨터 보호
  • FireEye 엔드 포인트 보안
  • 인터셉트 X (소포스)
  • Kaspersky Endpoint Security
  • Windows 용 Malwarebytes
  • McAfee 엔드 포인트 보안
  • 팬더 돔
  • Webroot Secure Anywhere

맥 OS

  • AVG
  • 빗 디펜더 종합 보안
  • ESET 사이버 보안
  • 카스퍼 스키 인터넷 시큐리티
  • 맥아피 토털 프로텍션
  • Microsoft Defender (베타)
  • 노턴 보안
  • 소포스 홈
  • Webroot Secure Anywhere

출처 : https://www.rack911labs.com


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.

  1.   Guillermoivan
    4 년

    가장 놀라운 점은 ... 현재 램섬웨어가 어떻게 확산되고 있으며 AV 개발자가 패치를 구현하는 데 6 개월이 걸린다는 것입니다.

    Guillermoivan에 답장