Більшість антивірусів можна вимкнути за допомогою символічних посилань

Darkcrizt

4 хвилин

ухилення від антивірусного програмного забезпечення

Вчора, RACK911 Дослідники лабораторій, я поділяюn у своєму блозі, пост, у якому вони випустили частина його досліджень показує, що майже всі пакети антивірус для Windows, Linux та macOS були вразливими на атаки, які маніпулюють умовами перегонів, одночасно видаляючи файли, що містять шкідливе програмне забезпечення.

У вашому дописі показати, що для здійснення атаки потрібно завантажити файл що антивірус розпізнає як зловмисний (наприклад, може використовуватися тестовий підпис) і через певний час, після виявлення антивірусом шкідливого файлу  безпосередньо перед викликом функції для його видалення файл діє для внесення певних змін.

Більшість антивірусних програм не враховують невеликий проміжок часу між початковим скануванням файлу, який виявляє шкідливий файл, та операцією очищення, яка виконується відразу після цього.

Зловмисний локальний користувач або автор шкідливого програмного забезпечення часто може виконати перегоновий стан за допомогою стику каталогів (Windows) або символічного посилання (Linux та macOS), яке використовує переваги привілейованих файлових операцій для вимкнення антивірусного програмного забезпечення або втручання операційної системи в його обробку.

У Windows змінено каталог за допомогою приєднання до каталогу. в той час як на Linux та Macos, ви можете зробити подібний трюк зміна каталогу на посилання "/ etc".

Проблема в тому, що майже всі антивіруси неправильно перевірили символічні посилання, а враховуючи, що вони видаляли шкідливий файл, вони видалили файл у каталозі, позначеному символічним посиланням.

У Linux та macOS це показано як таким чином користувач без привілеїв Ви можете видалити / etc / passwd або будь-який інший файл із системи а в Windows бібліотека DDL антивіруса для блокування його роботи (у Windows атака обмежується лише видаленням файлів, якими інші користувачі в даний час не користуються) додатків).

Наприклад, зловмисник може створити каталог експлойтів і завантажити файл EpSecApiLib.dll підписом тесту на віруси, а потім замінити каталог експлойтів символічним посиланням перед видаленням платформи, яка видалить бібліотеку EpSecApiLib.dll з каталогу. Антивірус.

Крім того, багато антивіруси для Linux та macOS виявили використання передбачуваних імен файлів при роботі з тимчасовими файлами в каталозі / tmp та / private tmp, які можна використовувати для збільшення привілеїв для кореневого користувача.

На сьогоднішній день більшість постачальників вже усунули проблеми, Але слід зазначити, що перші повідомлення про проблему були надіслані розробникам восени 2018 року.

У наших тестах на Windows, macOS та Linux ми змогли легко видалити важливі файли, пов’язані з антивірусом, що зробило його неефективним, і навіть видалити ключові файли операційної системи, що призведе до значної пошкодження, що вимагатиме повної переінсталяції операційної системи.

Незважаючи на те, що не всі випускали оновлення, вони отримували виправлення принаймні протягом 6 місяців, і RACK911 Labs вважає, що тепер ви маєте право розкривати інформацію про вразливі місця.

Відзначається, що лабораторії RACK911 працюють над ідентифікацією вразливостей вже давно, але не передбачали, що працювати з колегами з антивірусної галузі буде настільки складно через затримку випуску оновлень та ігнорування необхідності термінового вирішення проблем безпеки .

З-поміж зазначених продуктів зазначена проблема до наступного:

Linux

  • BitDefender GravityZone
  • Захист кінцевої точки Comodo
  • Захист файлового сервера Eset
  • Безпека F-Secure Linux
  • Kaspersy Endpoint Security
  • McAfee Endpoint Security
  • Антивірус Sophos для Linux

Windows

  • Безкоштовний антивірус Avast
  • Безкоштовний антивірус Avira
  • BitDefender GravityZone
  • Захист кінцевої точки Comodo
  • Захист комп’ютера F-Secure
  • Захист кінцевої точки FireEye
  • Перехоплення X (Софос)
  • Кінцева точка безпеки Касперського
  • Malwarebytes для Windows
  • McAfee Endpoint Security
  • Купол Панда
  • Webroot безпечний будь-де

MacOS

  • AVG
  • Повна безпека BitDefender
  • Eset Cyber ​​Security
  • Kaspersky Internet Security
  • McAfee Total Protection
  • Microsoft Defender (БЕТА)
  • Нортон Безпека
  • Sophos Home
  • Webroot безпечний будь-де

Фуенте: https://www.rack911labs.com


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   гільєрмайван - сказав він
    тому 4 років

    найбільш вражаюче ... це те, як зараз поширюється програмне забезпечення та що розробникам AV потрібно 6 місяців для впровадження виправлення ...

    Відповісти guillermoivan