Знайдений новий спосіб обходу антивірусного захисту

11 травня 2010 року

Відео: Спосіб обходу облікового запису Google після скидання

Дослідники з проекту Matousec.com компанії Different Internet Experience повідомили, що їм вдалося розробити прінціпіальноновий спосіб для обходу антивірусного захисту. За допомогою розроблених прийомів творці шкідливого коду можуть пред`явити антивірусу на перевірку не викликає підозр код, а потім моментально замінити цей код в пам`яті на набагато більш небезпечну програму, здатну виконати навіть такі дії, какполное знищення антивіруса без прав адміністратора.

Нове відкриття засноване на тому, що переважна більшість сучасних антивірусів використовують для аналізу файлів і виконуваного коду спеціальниедрайверние перехоплювачі, приховані в самих глибинах операційної системи. У колишні часи, коли всі операції оброблялися єдиним потоком, атакующімпрішлось б чимало потрудитися, щоб своєчасно вставити шкідливий код на місце щойно перевіреного фрагмента, але зараз многоядерниепроцессори привели до того, що один потік обробки (тред) часто не може відстежити роботу інших тредов. В результаті практично всі современниеантівірусние пакети для Windows можна обдурити і пропустити через них шкідливий код, який в інших умовах буде повністю блокований. Механізм, що допомагає обходити системні механізми безпеки, які використовують антивірусні продукти, отримав назву KHOBE (Kernel HOok Bypassing Engine -механізм обходу перехоплювачів ядра), а сам метод названий «argument-switch» (підміна аргументу).

Все що потрібно для обману антивірусних програм поновому методу, це щоб антивірус використав для зміни ядра операційної системи перехоплювачі (hook) з таблиці дескрипторів системних служб SSDT (System Service Descriptor Table). За результатами проведеного тесту уразливості виявилися схильні до 100% з 34 перевірених продуктів, включаючи продуктиMcAfee, Trend Micro, AVG і BitDefender. На думку дослідників, список таких програм можна продовжувати нескінченно. Крім того, для виполненіявредоносних дій достатньо, щоб користувач увійшов під обліковим записом, що не має повноважень адміністратора.

Звичайно, у нового методу є серйозні обмеження. Для атаки необхідно помістити на машину великий обсяг коду, так що новий метод не подойдетдля атак за допомогою консольних сценаріїв або атак, де головним фактором успіху є швидкість і непомітність. Фактично, атака за новим методувозможна тільки тоді, коли атакуючий має реальну можливість для запуску довічних виконуваних файлів на атакується машині.

Нову техніку атаки можна поєднувати з використанням вразливостей в інших програмах, наприклад, в уразливих версіях Adobe Reader або Oracle JVM (JavaVirtual Machine) - за допомогою такої комплексної атаки можна внести на машину шкідливий код, не викликаючи підозр у антивірусної програми. Есліразработчіку шкідливого коду вдасться своєчасно підмінити зміст перевіряється файлу, код вірусу може повністю знищити встановлений ікорректно працює антивірус, обійшовши системні перехоплення подій в власному тред і не використовуючи повноваження адміністратора.