Большинство антивирусов можно отключить с помощью символических ссылок

уклонение от антивирусного программного обеспечения

Вчера Исследователи RACK911 Labs, я разделяюn в своем блоге, сообщение, в котором они выпустили часть его исследования показывает, что почти все пакеты антивирус для Windows, Linux и macOS были уязвимы для атак, которые манипулируют условиями гонки при удалении файлов, содержащих вредоносное ПО.

В вашем посте покажите, что для проведения атаки вам необходимо скачать файл который антивирус распознает как вредоносный (например, можно использовать тестовую подпись) и через определенное время, после того как антивирус обнаружит вредоносный файл  непосредственно перед вызовом функции для его удаления файл действует, чтобы внести определенные изменения.

Большинство антивирусных программ не учитывают небольшой интервал времени между первоначальным сканированием файла, обнаруживающим вредоносный файл, и операцией очистки, которая выполняется сразу после этого.

Злонамеренный локальный пользователь или автор вредоносной программы часто может выполнить условие гонки через соединение каталогов (Windows) или символическую ссылку (Linux и macOS), которая использует привилегированные файловые операции для отключения антивирусного программного обеспечения или мешает операционной системе обрабатывать его.

В Windows производится смена каталога с помощью соединения с каталогом. В то время как в Linux и Macos, аналогичный трюк можно сделать изменение каталога на ссылку "/ etc".

Проблема в том, что почти все антивирусы некорректно проверяли символические ссылки и, учитывая, что они удаляли вредоносный файл, удаляли файл в каталоге, указанном символической ссылкой.

В Linux и macOS отображается как таким образом пользователь без привилегий вы можете удалить / etc / passwd или любой другой файл из системы а в Windows - библиотека DDL антивируса для блокировки его работы (в Windows атака ограничивается только удалением файлов, которые в данный момент не используются другими пользователями) приложений).

Например, злоумышленник может создать каталог эксплойтов и загрузить файл EpSecApiLib.dll с тестовой сигнатурой вируса, а затем заменить каталог эксплойтов символической ссылкой перед удалением платформы, которая удалит библиотеку EpSecApiLib.dll из каталога. Antivirus.

Кроме того, многие антивирусы для Linux и macOS показали использование предсказуемых имен файлов при работе с временными файлами в каталогах / tmp и / private tmp, которые могут быть использованы для повышения привилегий для пользователя root.

На сегодняшний день большинство провайдеров уже устранили проблемы, Но стоит отметить, что первые уведомления о проблеме были отправлены разработчикам осенью 2018 года.

В наших тестах на Windows, macOS и Linux мы смогли легко удалить важные файлы, связанные с антивирусом, которые делали его неэффективным, и даже удалить ключевые файлы операционной системы, которые могли вызвать серьезные повреждения, что потребовало бы полной переустановки операционной системы.

Несмотря на то, что не все выпустили обновления, они получили исправление как минимум на 6 месяцев, и RACK911 Labs считает, что теперь вы имеете право раскрывать информацию об уязвимостях.

Отмечается, что RACK911 Labs давно работает над выявлением уязвимостей, но не ожидал, что будет так сложно работать с коллегами в антивирусной индустрии из-за несвоевременного выпуска обновлений и игнорирования необходимости срочно исправлять проблемы безопасности. .

Из продуктов, затронутых этой проблемой, упоминаются на следующее:

Linux

  • BitDefender GravityZone
  • Безопасность конечной точки Comodo
  • Безопасность файлового сервера Eset
  • Безопасность F-Secure Linux
  • Касперский Endpoint Security
  • McAfee Endpoint Security
  • Sophos Anti-Virus для Linux

Windows

  • Avast бесплатный антивирус
  • Бесплатный антивирус Avira
  • BitDefender GravityZone
  • Безопасность конечной точки Comodo
  • F-Secure Защита компьютера
  • Безопасность конечных точек FireEye
  • Перехват X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes для Windows
  • McAfee Endpoint Security
  • Панда Купол
  • Webroot Secure Anywhere

MacOS

  • AVG
  • Полная безопасность BitDefender
  • Кибербезопасность Eset
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Защитник Microsoft (БЕТА)
  • Norton Security
  • Sophos Home
  • Webroot Secure Anywhere

источник: https://www.rack911labs.com


Комментарий, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Guillermoivan сказал

    самое поразительное ... это то, как в настоящее время распространяется программа-вымогатель и что разработчикам антивирусов требуется 6 месяцев, чтобы внедрить патч ...