Karamihan sa antivirus ay maaaring hindi paganahin ng mga simbolikong link

Darkcrizt

4 Minutos

evading-antivirus-software

Kahapon, ang Mga mananaliksik ng RACK911 Labs, ibinabahagi kon sa kanilang blog, isang post kung saan pinakawalan nila bahagi ng kanyang pagsasaliksik na ipinapakita na halos lahat ang mga pakete ng mahina ang antivirus para sa Windows, Linux at macOS sa mga pag-atake na nagmamanipula ng mga kundisyon ng lahi habang tinatanggal ang mga file na naglalaman ng malware.

Sa post mo ipakita na upang magsagawa ng isang pag-atake, kailangan mong mag-download ng isang file na kinikilala ng antivirus bilang nakakahamak (halimbawa, maaaring magamit ang isang lagda sa pagsubok) at pagkatapos ng isang tiyak na oras, pagkatapos makita ng antivirus ang nakakahamak na file  kaagad bago tawagan ang pagpapaandar upang alisin ito, kumikilos ang file upang gumawa ng ilang mga pagbabago.

Ano ang hindi isinasaalang-alang ng karamihan sa mga programa ng antivirus ay ang maliit na agwat ng oras sa pagitan ng paunang pag-scan ng file na nakakakita ng nakakahamak na file at ang operasyon ng paglilinis na isinasagawa kaagad pagkatapos.

Ang isang nakakahamak na lokal na gumagamit o may-akda ng malware ay maaaring madalas na magsagawa ng isang kundisyon ng lahi sa pamamagitan ng isang direktoryo ng kantong (Windows) o symlink (Linux at macOS) na sinasamantala ang mga pribilehiyong pagpapatakbo ng file upang hindi paganahin ang antivirus software o makagambala kasama ang operating system upang maproseso ito.

Sa Windows nagawa ang isang pagbabago sa direktoryo gamit ang isang direktoryo na sumali. habang sa Linux at Macos, maaari kang gumawa ng isang katulad na trick binabago ang direktoryo sa link na "/ etc".

Ang problema ay halos lahat ng antivirus ay hindi nasuri nang tama ang mga simbolikong link at isinasaalang-alang na tinatanggal nila ang isang nakakahamak na file, tinanggal nila ang file sa direktoryo na ipinahiwatig ng simbolikong link.

Sa Linux at macOS ito ipinapakita paano sa ganitong paraan ang isang gumagamit na walang pribilehiyo maaari mong alisin / etc / passwd o anumang iba pang mga file mula sa system at sa Windows ang DDL library ng antivirus upang harangan ang operasyon nito (sa Windows, ang pag-atake ay limitado lamang sa pamamagitan ng pagtanggal ng mga file na hindi ginagamit ng ibang mga gumagamit) na mga application).

Halimbawa antivirus

Bukod dito, maraming antivirus para sa Linux at macOS ang nagsiwalat ng paggamit ng mahuhulaan na mga filename kapag nagtatrabaho kasama ang pansamantalang mga file sa / tmp at / pribadong direktoryo ng tmp, na maaaring magamit upang madagdagan ang mga pribilehiyo para sa root user.

Sa ngayon, tinanggal na ng karamihan sa mga provider ang mga problema, Ngunit dapat pansinin na ang mga unang abiso ng problema ay naipadala sa mga tagabuo noong taglagas ng 2018.

Sa aming mga pagsubok sa Windows, macOS, at Linux, madali naming natanggal ang mga mahahalagang file na nauugnay sa antivirus na naging epektibo at natanggal pa ang mga pangunahing file ng operating system na magdulot ng makabuluhang katiwalian na mangangailangan ng isang kumpletong muling pag-install ng operating system.

Bagaman hindi lahat ay naglabas ng mga pag-update, nakatanggap sila ng pag-aayos ng hindi bababa sa 6 na buwan, at naniniwala ang RACK911 Labs na mayroon ka ngayong karapatang ibunyag ang impormasyon tungkol sa mga kahinaan.

Nabanggit na ang RACK911 Labs ay nagtatrabaho sa pagkakakilanlan ng kahinaan sa mahabang panahon, ngunit hindi inaasahan na napakahirap na gumana sa mga kasamahan sa industriya ng antivirus dahil sa naantala na pagpapalabas ng mga pag-update at hindi pinapansin ang pangangailangang mapabilis na ayusin ang mga isyu sa seguridad.

Sa mga produktong apektado ng problemang ito ay nabanggit sa mga sumusunod:

Linux

  • BitDefender GravityZone
  • Seguridad ng Comodo Endpoint
  • Eset Security ng Security ng Server
  • F-Secure Linux Security
  • Kaspersy Endpoint Security
  • Ang Security Security ng McAfee
  • Sophos Anti-Virus para sa Linux

Windows

  • Avast Libreng Anti-Virus
  • Avira Free Antivirus
  • BitDefender GravityZone
  • Seguridad ng Comodo Endpoint
  • F-Secure Proteksyon ng Computer
  • FireEye Endpoint Security
  • Harangin ang X (Sophos)
  • Kaspersky Endpoint Security
  • Malwarebytes para sa Windows
  • Ang Security Security ng McAfee
  • Panda simboryo
  • Webroot Secure Kahit saan

MacOS

  • AVG
  • Kabuuang Seguridad ng BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (BETA)
  • Norton Security
  • Sophos Home
  • Webroot Secure Kahit saan

Fuente: https://www.rack911labs.com


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   guillermoivan dijo
    nakararaan 4 taon

    ang pinaka-kapansin-pansin ... ay kung paano kasalukuyang kumakalat ang ramsomware at ang mga developer ng AV ay tumatagal ng 6 na buwan upang magpatupad ng isang patch ...

    Tumugon kay guillermoivan