Выявлена серьезная уязвимость в популярных антивирусных продуктах

Группа специалистов Лондонского и Люксембургского университетов выявили серьезную уязвимость в популярных антивирусных продуктах, позволяющую отключать их защиту и получать контроль над белым списком приложений, а также обходить функцию защиты от вымогательского ПО.

Описанные исследователями две атаки направлены на обход функции защищенных папок, предлагаемой антивирусными программами для шифрования файлов (атака Cut-and-Mouse), и отключение антивирусной защиты в реальном времени путем имитации щелчка мыши (атака Ghost Control).

Функция защищенных папок позволяют пользователям указывать папки, требующие дополнительного уровня защиты от вредоносного ПО, тем самым потенциально блокируя любой небезопасный доступ к ним. Права на запись в защищенные папки предоставляются лишь ограниченному кругу приложений из белого списка. Тем не менее, сами приложения из белого списка не защищены от неправомерного использования другими приложениями. Поэтому это доверие неоправданно, поскольку вредоносное ПО может выполнять операции с защищенными папками, используя приложения из белого списка в качестве посредников.

Разработанный исследователями сценарий атаки Cut-and-Mouse показал, что вредоносный код может использоваться для управления приложением из белого списка (например, «Блокнотом») для выполнения операций записи и шифрования файлов жертвы, хранящихся в защищенных папках. С этой целью вымогательское ПО считывает файлы в папках, шифрует их в памяти и копирует в системный буфер обмена, после чего запускает «Блокнот», чтобы перезаписать содержимое папки данными из буфера обмена.

Хуже того, используя в качестве доверенного приложения Paint, исследователи обнаружили, что вышеупомянутый сценарий атаки может использоваться для перезаписи файлов пользователя случайно сгенерированным изображением с целью их окончательного уничтожения.

С другой стороны, атака Ghost Control может иметь серьезные последствия сама по себе, поскольку отключение защиты от вредоносного ПО в реальном времени путем имитации законных действий пользователя, выполняемых в пользовательском интерфейсе антивирусного решения, может позволить злоумышленнику установить с удаленного сервера под их управлением и запустить любую мошенническую программу.

Из 29 протестированных исследователями антивирусных решений 14 уязвимы к атаке Ghost Control. К атаке Cut-and-Mouse оказались уязвимы все 29 продуктов. Названия решений и их производителей исследователи не сообщили.

Cut-and-Mouse and Ghost Control: Exploiting Antivirus Software with Synthesized Inputs

To protect their digital assets from malware attacks, most users and companies rely on antivirus (AV) software. AVs’ protection is a full-time task against malware: This is similar to a game where malware, e.g., through obfuscation and polymorphism, denial of service attacks, and malformed packets and parameters, tries to circumvent AV defences or make them crash. However, AVs react by complementing signature-based detection with anomaly or behavioral analysis, and by using OS protection, standard code, and binary protection techniques. Further, malware counter-acts, for instance, by using adversarial inputs to avoid detection, and so on. In this cat-and-mouse game, a winning strategy is trying to anticipate the move of the adversary by looking into one’s own weaknesses, seeing how the adversary can penetrate them, and building up appropriate defences or attacks. In this article, we play the role of malware developers and anticipate two novel moves for the malware side to demonstrate the weakness in the AVs and to improve the defences in AVs’ side. The first one consists in simulating mouse events to control AVs, namely, to send them mouse “clicks” to deactivate their protection. We prove that many AVs can be disabled in this way, and we call this class of attacks Ghost Control. The second one consists in controlling whitelisted applications, such as Notepad, by sending them keyboard events (such as “copy-and-paste”) to perform malicious operations on behalf of the malware. We prove that the anti-ransomware protection feature of AVs can be bypassed if we use Notepad as a “puppet” to rewrite the content of protected files as a ransomware would do. Playing with the words, and recalling the cat-and-mouse game, we call this class of attacks Cut-and-Mouse. We tested these two attacks on 29 AVs, and the results show that 14 AVs are vulnerable to Ghost Control attack while all 29 AV programs tested are found vulnerable to Cut-and-Mouse. Furthermore, we also show some weaknesses in additional protection mechanisms of AVs, such as sandboxing and CAPTCHA verification. We have engaged with the affected AV companies, and we reported the disclosure communication with them and their responses.

Другие новости