Исследователи из проекта Matousec.com компании Different Internet Experience сказали, что им удалось создать принципиально новейший метод для обхода антивирусной охраны. С подмогою разработанных приемов создатели вредного кода могут предъявить антивирусу на проверку не вызывающий сомнений код, а потом мгновенно заменить этот код в памяти на еще наиболее страшную програмку, способную выполнить даже экие деянья, как полное ликвидирование антивируса без прав админа.
Исследователи из проекта Matousec.com компании Different Internet Experience сказали, что им удалось создать принципиально новейший метод для обхода антивирусной охраны. С поддержкой разработанных приемов создатели вредного кода могут предъявить антивирусу на проверку не вызывающий недоверий код, а далее мгновенно заменить этот код в памяти на еще наиболее страшную програмку, способную выполнить даже этакие деяния, как полное ликвидирование антивируса без прав админа.
Новое открытие основано на том, что подавляющее большая часть идущих в ногу со временем антивирусов применяют для анализа файлов и выполняемого кода особые драйверные перехватчики, сокрытые в самых глубинах операционной порядка. В прошлые эпохи, иной раз все операции обрабатывались единичным потоком, нападающим привелось бы много потрудиться, чтоб вовремя вставить вредный код на площадь лишь что проверенного фрагмента, но на данный момент многоядерные процессоры привели к тому, что один-одинехонек поток обработки (тред) плотно не может отследить занятие остальных тредов. В итоге фактически все современные антивирусные фунтики для Windows можнож одурачить и пропустить спустя их вредный код, тот или другой в других критериях будет вполне блокирован. Механизм, подсобляющий обходить системные механизмы сохранности, тот или иной применяют антивирусные продукты, приобрел заглавие KHOBE (Kernel HOok Bypassing Engine механизм обхода перехватчиков ядра), а сам способ назван argument-switch(замена довода).
Все что необходимо для обмана антивирусных программ по новенькому способу, это чтоб антивирус употреблял для конфигурации ядра операционной порядка перехватчики (hook) из таблицы дескрипторов системных занятий SSDT (System Service Descriptor Table). По результатам проведенного теста уязвимости оказались подвержены сто% из 34 проверенных товаров, включая продукты McAfee, Trend Micro, AVG и BitDefender. По воззренью исследователей, перечень этаких программ можнож продолжать нескончаемо. Не считая того, для исполненья вредных деяний довольно, чтоб юзер вошел под учетной записью, не обладающей возможностей админа.
Разумеется, у новейшего способа глодать суровые ограничения. Для атаки нужно поместить на машинку большущий размер кода, так что новейший способ не наступит для атак с поддержкой консольных сценариев либо атак, где ключевым фактором фуррора прибывает быстрота и незаметность. Практически, атака по новенькому способу вероятна лишь тогда, иной раз нападающий располагает настоящую вероятность для пуска двоичных выполняемых файлов на атакуемой машине.
Новейшую технику атаки можнож соединять с внедрением уязвимостей в остальных програмках, к примеру, в уязвимых версиях Adobe Reader либо Oracle JVM (Java Virtual Machine) с поддержкой этакий комплексной атаки можнож внести на машинку вредный код, не вызывая недоверий у антивирусной программы. Ежели разрабу вредного кода получится вовремя подменить содержание проверяемого файла, код вируса может вполне убить принятый и корректно функционирующий антивирус, обойдя системные перехваты событий в своем треде и не употребляя возможности админа.
Подробнее с службой исследователей из проекта Matousec.com можнож познакомиться на .
По мат-лам веб-сайта .
