По словам исследователей Якуба Бржечки (Jakub Brecka) и
Давида Матоушека (David Matousek) из команды веб-ресурса
Matousek.com, им удалось создать способ
обхода защиты, встроенной в большинство популярных настольных антивирусных
продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos,
ESET, McAffee, Symantec, Panda и т. д.
Методика такова: на вход
антивируса посылается безвредный код, проходящий все защитные барьеры, но,
прежде чем он начнет исполняться, производится его подмена на вредоносную
составляющую. Понятно, замена должна произойти строго в нужный момент, однако на
практике всё упрощается благодаря тому, что современные системы располагают
многоядерным окружением, когда один поток не в состоянии отследить действия
параллельных потоков. В итоге может быть обманут буквально любой
Windows-антивирус.
Руткит функционирует в том случае, если антивирусное
ПО использует таблицу дескрипторов системных служб (System Service Descriptor
Table, SSDT) для внесения изменений в участки ядра операционной системы.
Поскольку все современные защитные средства оперируют на уровне ядра, атака
работает на 100%, причем даже в том случае, если Windows запущена под учётной
записью с ограниченными полномочиями.
Вместе с тем руткит требует
загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда
требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник
должен располагать возможностью выполнения двоичного файла на целевом
компьютере.
Методика может быть скомбинирована с традиционной атакой на
уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая
подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе
уничтожить все защитные барьеры, полностью удалив из системы мешающий
антивирус.
Подготовлено по материалам
The
Register.
Главная 
