Виявлено серйозну вразливість у популярних антивірусних продуктах.
Виявлено серйозну вразливість в популярних антивірусних продуктах
Група фахівців з університетів Лондона і Люксембургу виявила серйозну вразливість в популярних антивірусних продуктах, що дозволяє відключити їх захист і отримати контроль над білим списком додатків, а також обійти функцію захисту від програм-вимагачів.
Дві атаки, описані дослідниками, спрямовані на обхід функції захищеної папки, пропонованої антивірусними програмами для шифрування файлів (Cut-and-Mouse attack), і відключення антивірусного захисту в режимі реального часу шляхом імітації клацання мишею (Ghost Control attack).
Функція «Захищені папки» дозволяє користувачам вказувати папки, які вимагають додаткового рівня захисту від шкідливих програм, тим самим потенційно блокуючи будь-який небезпечний доступ до них. Дозволи на запис в захищені папки надаються тільки обмеженій кількості додатків з білого списку. Однак самі програми з білого списку не захищені від неправильного використання іншими програмами. Тому ця довіра невиправдана, оскільки шкідливе ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ може виконувати операції над захищеними папками, використовуючи додатки з білого списку в якості посередників.
Розроблений дослідниками сценарій атаки Cut-and-Mouse показав, що шкідливий код може бути використаний для управління додатком з білого списку (наприклад, Notepad) для виконання операцій запису і шифрування файлів жертв, що зберігаються в захищених папках. З цією метою вимагацьке ПЗ зчитує файли в папках, шифрує їх в пам'яті і копіює в системний буфер обміну, після чого запускає «Блокнот» для перезапису вмісту папки даними з буфера обміну.
Гірше того, використовуючи Paint як надійний додаток, дослідники виявили, що вищезгаданий скрипт атаки може бути використаний для перезапису файлів користувача випадково згенерованим зображенням з метою їх остаточного знищення.
З іншого боку, атака Ghost Control може мати серйозні наслідки сама по собі, так як відключення захисту від шкідливих програм в режимі реального часу шляхом імітації законних дій користувача, виконаних в користувальницькому інтерфейсі антивірусного рішення, може дозволити зловмиснику встановити з віддаленого сервера під їх контролем і запустити будь-яку шахрайську програму.
З 29 антивірусних рішень, протестованих дослідниками, 14 вразливі до атаки Ghost Control. Усі 29 продуктів були вразливими до атаки Cut-and-Mouse. Назви розчинів і їх виробників дослідники не повідомили.
Cut-and-Mouse і Ghost Control: використання антивірусного програмного забезпечення з синтезованими входами
Для захисту своїх цифрових активів від атак шкідливих програм більшість користувачів і компаній покладаються на антивірусне програмне забезпечення (AV). Захист AVs є повноцінним завданням від шкідливих програм: це схоже на гру , де шкідливе програмне забезпечення, наприклад, за допомогою обфускації та поліморфізму, атак на відмову в обслуговуванні та неправильно сформованих пакетів і параметрів, намагається обійти захист AV або змусити їх вийти з ладу. Однак AV реагують, доповнюючи виявлення на основі сигнатур аномаліями або поведінковим аналізом, а також використовуючи захист ОС, стандартний код та бінарні методи захисту. Крім того, зловмисне програмне забезпечення протидіє діям, наприклад, використовуючи змагальні входи, щоб уникнути виявлення тощо. У цій грі в кішки-мишки виграшна стратегія намагається передбачити хід супротивника, розглядаючи власні слабкості, бачачи, як супротивник може проникнути в них, і нарощуючи відповідну оборону або атаки. У цій статті ми граємо роль розробників шкідливих програм і передбачаємо два нових кроки для сторони шкідливого програмного забезпечення, щоб продемонструвати слабкість avs і покращити захист на стороні AVs. Перший полягає в імітації подій миші для управління АВ, а саме в тому, щоб відправити їм «кліки» миші для деактивації їх захисту. Ми доводимо, що багато АВ можна відключити таким чином, і називаємо цей клас атак Ghost Control. Другий полягає в управлінні програмами з білого списку, такими як Notepad, шляхом надсилання їм подій клавіатури (наприклад, "копіювання та вставка") для виконання шкідливих операцій від імені шкідливого програмного забезпечення. Ми доводимо, що функцію захисту від програм-вимагачів AVs можна обійти, якщо ми використовуємо Блокнот як «маріонетку» для переписування вмісту захищених файлів, як це зробило б програмне забезпечення-вимагач. Граючи зі словами, і згадуючи гру в кішки-мишки, ми називаємо цей клас атак Cut-and-Mouse. Ми протестували ці дві атаки на 29 AVs, і результати показують, що 14 AV вразливі до атаки Ghost Control , тоді як усі 29 протестованих програм AV виявляються вразливими для Cut-and-Mouse. Крім того, ми також показуємо деякі слабкі місця в додаткових механізмах захисту АВ, таких як пісочниця та перевірка CAPTCHA. Ми співпрацювали з постраждалими компаніями AV, і ми повідомляли про повідомлення про розкриття інформації з ними та їхні відповіді.
