Digital Security демонстрирует уязвимость популярных антивирусов

Результаты исследования, проведенного специалистами исследовательского центра Digital Securityinfo-icon, демонстрируют, что большинство популярных антивирусных продуктов могут быть успешно атакованы при помощи известных техник, доступных на публичных ресурсах.

В рамках данной работы были проанализированы следующие решения: McAfeeinfo-icon Total Security 2015, ESET Smart Securityinfo-icon, Norton Securityinfo-icon, AVG Internet Securityinfo-icon 2015, BitDefender Total Securityinfo-icon 2015, Trend Microinfo-icon Antivirus+ 2015, Avirainfo-icon, DrWeb 10, Kaspersky Internet Security 15, Avastinfo-icon Free Antivirus, Panda Internet Securityinfo-icon 2015. Продукты, участвовавшие в исследовании, объединены двумя признаками:

  1. ПО, использующее архитектуру самозащиты, заявляет о себе как о способном реагировать на активную, запущенную угрозу, обладает функцией проактивной защиты;
  2. Входит в список самых популярных решений, ранее трестировавшихся с применением различных методологий.

Все перечисленное ПО было подвергнуто атакам при помощи универсальных техник, каждая из которых не нацелена на конкретное решение и не использует архитектурные слабости того или иного ПО. В частности, были задействованы: ProxyInject, Duplicate Handle, Reparse-Point, PageFile attack, RegSafe, RegRestore, Shim engine. Эти техники атак доступны на открытых ресурсах Интернета уже 1-3 года.

Тестирование методов проходило на операционной системе Windows 7, x86_64/x86_32, которая устанавливалась на виртуальной машине VMwareinfo-icon. Кроме того, отдельные решения были инсталлированы на физическое железо (обусловлено использованием механизмов аппаратной виртуализации VT-x/VTD).

В процессе тестирования выяснилось, что почти все исследованные продукты уязвимы к одной или нескольким известным техникам атак. С результатами, а также другими подробностями исследования можно ознакомиться по ссылке: http://dsec.ru/ipm-research-center/research/self_defense_anti_virus/.

Очевидно, что некоторые компании попросту не отслеживают эволюцию публичных методов атак, лишь подтверждая тем самым абсурдность выбранной ими архитектуры. Это предоставляет злоумышленникам большую свободу действий, а также дает возможности для совершенствования методов в будущем. И пока ситуация не изменится, атакующие всегда будут на шаг впереди защиты.

Подпишитесь
в Facebook

Я уже с вами