Исследователи авторитетного сайта matousec.com

разработали новый способ обхода средств защиты
, встроенных в десятки самых
популярных антивирусных продуктов для конечных пользователей, включая антивирусы
от McAfee, Trend Micro, AVG и BitDefender.

Данный метод работает через эксплуатацию драйверов перехвата операций,
которые антивирусные программы прячут глубоко внутри операционной системы.
Сначала этим драйверам посылается с виду безобидный код, который после
прохождения процедуры проверки подменяется на вредоносный.

Эксплоит должен быть запущен в точно выверенное время, чтобы его выполнение
не началось слишком рано или поздно. Однако, учитывая то обстоятельство, что
большинство современных компьютеров основано на многоядерных процессорах, в них
зачастую невозможно отследить выполнение ряда одновременно исполняемых
процессов. Именно поэтому новый способ обхода защиты может ввести в заблуждение
почти все антивирусы для Windows. Для успешной атаки необходимо лишь, чтобы
антивирус использовал таблицу дескрипторов системных служб (SSDT).

Исследователи проверили 34 антивирусных пакета для Windows и все они
оказались уязвимыми для атаки. Более того, придуманный ими способ срабатывает
даже тогда, когда пользователь работает из-под аккаунта с ограниченными
привилегиями.

Впрочем, есть и ограничения. Так, для успешного завершения нападения
требуется загрузить на целевую систему достаточно много кода, что не позволяет
использовать данный эксплоит при атаках, основанных на шелл-кодах. Кроме того,
для проведения атаки требуется, чтобы злоумышленник уже имел возможность
запускать на компьютере жертвы произвольный код.

Тем не менее, данный алгоритм может быть использован в связке с существующей
уязвимостью в том же Adobe Reader или виртуальной машине Java, при этом
вредоносное приложение будет установлено без срабатывания антивирусного ПО. К
тому же, по словам известного эксперта Чарли Миллера, с помощью данной атаки
можно удалить антивирусную программу, работая из-под ограниченного аккаунта
Windows.



Оставить мнение