004

На хакерской конференции Syscan 360 в Пекине представитель сингапурской компании в области информационной безопасности COSEINC Хошеан Корет (Joxean Koret) выступил с презентацией о взломе антивирусного программного обеспечения.

Главный тезис презентации состоит в том, что устанавливая антивирусное ПО на свой компьютер, вы делаете его более уязвимым, добавляя дополнительный вектор атаки. Да, антивирус защищает от старых неактивных вирусов, но при этом открывает лазейки для новых вирусов, которые пользуются дырами в движках антивирусных программ.

Автор объясняет, что по причинам производительности движки AV написаны на небезопасных языках программирования. Почти все они написаны на C и/или C++, за исключением совсем немногих, таких как MalwareBytes на VB6. Соответственно, там повсеместно можно эксплуатировать переполнения буфера, целочисленные переполнения, форматы строк и проч. Эти движки занимают привилегированное положение в ОС, устанавливают системные драйверы, поддерживают множество форматов файлов, включая уязвимые, работают с наивысшими привилегиями в системе и обновляются по HTTP. В общем, идеальный плацдарм для атаки.

Хошеан ради забавы в течение июля искал уязвимости в разных антивирусных движках, и ему удалось найти многочисленные дыры в 14 из 17 проверенных движков, в том числе в Avast, Avg, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET, F-Prot, F-Secure, Panda, eScan и др. Уязвимости допускают удалённое и локальное исполнение кода. Особенно большое количество багов найдено в румынском BitDefender.

001

Отличился и Kaspersky AV, у которого ключевые модули avzkrnl.dll и vlns.kdl не используют защиту ASLR. «Любой может написать надёжный эксплойт для Антивируса Касперского без особого труда», — считает Корет.

000

Среди уязвимых — DrWeb, который раньше обновлялся по HTTP без использования SSL/TLS, а рабочие файлы распространялись без цифровой подписи, только CRC32. Таким образом, любой мог подменить drweb32.dll, подобрав подходящий CRC32. Возможно, сейчас эти баги уже закрыты.

Автор предлагает несколько векторов атаки на разные антивирусы для вывода их из защищённого режима (ASLR) и эксплуатации уязвимостей. Например, использование двух вложенных друг в друга файлов внутри архива. Первый заставляет антивирус запустить эмулятор, а второй файл — это эксплойт. Можно и провести атаку типа «отказ в обслуживании», потому что многие антивирусы до сих пор уязвимы к zip-бомбам (баг 10-летней давности). Например, тот же «Касперский» при распаковке маленького 7z-архива создаёт временный файл на 32 ГБ.

В общем, специалист из Сингапура крайне скептично настроен по отношению к разработчикам антивирусного ПО.

Слайд из презентации Хошеана Корета
Слайд из презентации Хошеана Корета



22 комментария

  1. 31.07.2014 at 00:08

    добавили бы статью о настройки системы для использования её без антивируса … печально (

  2. 31.07.2014 at 02:01

    Comodo самый лучший + бесплатный. И значок давным-давно не щит. Про comodo все сказанное выше — ересь. С остальным соглашусь.

  3. 31.07.2014 at 02:31

    Тут не в антивирях дело. Увы, сама винда с ее ядром, недалеко ушла от 95 окошек, от того же доса, за сим С# иС++ растут оттуда же. Тут необходим кардинально новый подход к системе: распределение шадоу ядра системы на одном ссд, а виртуальный сэндбок запуск на другом ссд, а браузер вообще пусть виртуально в раме летает. Ну как-то так. А не приматывать костыль к хромому и пытаться его все время модернизировать. Ищите блин новый путь.

  4. 31.07.2014 at 08:34

    Помимо всего прочего, в Win нужно вести себя так же, как и *nix-системах. А именно, не сидеть безвылазно в учётке с привилегиями администратора, а сразу же, после (пере)установки системы дать своей постоянной учётке только привилегии пользователя или опытного пользователя. Перед каждым серьёзным делом система будет предлагать ввести пароль администратора. И будет сообщать, какое именно приложение запросило администраторские привилегии. Это может несколько напрягать, но оно того стоит. Безопасность хоть немного, но будет выше.

    • 31.07.2014 at 09:15

      Да просто UAC хотя бы не отключать.

      • 31.07.2014 at 10:05

        UAC очень сильно бесит при каждом моём действии спрашивает действительно ли я этого хочу? Нет блин, я просто так запустил экзешник для установки.

        • 31.07.2014 at 11:28

          А ты часто что-то ставишь? Мне очень редко приходится делать sudo zypper in, потому что я давно обзавёлся всем нужным мне софтом.

        • 31.07.2014 at 16:44

          Не отключать UAC, установить EMET, настроить обновление безопасности Win, юзать только свежий IE и хрен кто докопается.

          Если кто сейчас будет кудахтать насчет «ко-ко-ко IE гавно» идите сходите на nsslabs и почитайте исследование

          Browser Security Comparative Analysis Report — Socially Engineered Malware

          • 31.07.2014 at 17:18

            ..ко-ко-ко IE гавно..

          • 31.07.2014 at 19:56

            Я как-то чисто случайно тестировал верстку сайта в IE, открыл пару сайтов в поисковике, и вот оно, чудо от IE — держите вирусняк)))
            Не надо сказки рассказывать, какой не пробиваемый IE, все решает реальная практика, а не картинки в учебнике.
            Я этот браузер официально в работе больше не поддерживаю, такое дырявое УГ.

            • 31.07.2014 at 21:39

              Ну если пишете говнокод, то конечно можно и на IE пенять)))

              • 01.08.2014 at 05:21

                Так не я же IE писал, если что. Это же вами хваленый, как вы уже сами сказали, говнокод)))

                • 01.08.2014 at 13:56

                  «В новой версии исполняемые файлы Chrome скомпилированы как 64-битные, кроме этого, в них присутствует поддержка появившегося в Windows 8 стойкого ASLR (High Entropy ASLR). Отметим, что аналогичными функциями безопасности (64-битные процессы для вкладок и поддержка HEASLR) обладает только Internet Explorer 11 на Windows 8.1 x64 с соответствующими опциями безопасности.»

                  Так что если не можете (или не хотите) настраивать параметры безопасности, то сидите на хроме, кто вам то запрещает?))
                  Просто очень глупо выглядите, когда пытаетесь размышлять о вещах, в которых ни черта не смыслите.

                  • 01.08.2014 at 14:06

                    Пхахаха)) Прекратите))) Перечитайте еще раз мое сообщение, в 7 строчках разобраться тяму не хватает и следите за словечками, обиженный дядечка, я реальный случай привел на IE 9, а не размышления.
                    Вы отличаете реальный случай от размышления?))
                    Если неправильно понял, о чем я писал, перечитай еще, лень читать? проходи мимо.
                    Расскажите сообществу, как можно, из вашего понимания, поймать вирус из недавней html-верстки, раз вы такой умный весь, не выглядите глупо и все смыслите?)))

  5. 02.08.2014 at 10:20

    Просто экзешники левые на компе не запускать да кряки и кейгены на виртуалке ранить. Вот и вся «настройка системы без антивируса»

  6. 18.08.2014 at 17:40

    а мне всегда казалось — что большинство эксплойтов и уязвимостей направленны на Adobe Flash Player и Java…

    что-то я не видел не разу рабочего 0day эксплойта для того же каспера или NODа…. и имхо, только антивири подтирают за остальными разрабами борясь с эксплойтпаками и сетевыми червями, которые возникают из-за того что кто-то не захотел закрыть дырку в своём «кроссплатформенном ПО»
    а дырки есть везде, и то что они есть в антивирусах, ещё не говорит что то или иное по лучше не использовать, если так рассуждать — то любое по опасно, ведь рано или поздно, и в нём найдётся не пропатченная дырка 😉

Оставить мнение