Найден способ обмана любых Windows-антивирусов

Найден способ обмана любых Windows-антивирусов

Как утверждают исследователи Якуб Бржечки и Давид Матоушек из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы такие популярные продукты, как «Лаборатории Касперского», «Dr.Web», «Avast!», «Sophos», ESET, «McAffee», «Symantec», «Panda» и т. д.



Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике все упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой «Windows-антивирус», сообщает "Компьюлента".

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100 процентов, причем даже в том случае, если «Windows» запущена под учетной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объема кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию «Acrobat Reader» или «Sun Java Virtual Machine», не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.

Источник

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MITRE AADAPT: фреймворк для защиты от атак на криптоплатежи

НКО MITRE анонсировала запуск AADAPT (Adversarial Actions in Digital Asset Payment Technologies) — базы знаний о киберугрозах для систем цифровых валют, а также для транзакций с использованием таких активов.

Фреймворк AADAPT, построенный по образу и подобию MITRE ATT&CK, призван помочь разработчикам, финансистам, госорганам в выявлении, оценке и смягчении киберрисков, связанных с использованием цифровых валют, в том числе крипты.

Новая матрица содержит описания техник и тактик, которые в ходе атак на профильные финансовые системы и сервисы зафиксировали более 150 источников — научные сообщества, правительственные организации, представители отрасли.

Рост популярности криптовалюты породил новые киберугрозы. Наиболее уязвимыми оказались небольшие организации и органы местного самоуправления, которым зачастую не хватает ресурсов для достойного противостояния.

Миссия AADAPT — восполнить эту недостачу, предоставив плейбук TTP, практическое руководство и инструменты, позволяющие обеспечить адекватную защиту и своевременно выявить атаку на инфраструктуру, а в перспективе — укрепить доверие к экосистеме услуг и сервисов, построенных на базе технологий цифровых валют.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru