информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Модель надежности отказоустойчивой... 
 25 лет FreeBSD 
 Microsoft покупает GitHub 
 Уязвимости в реализациях OpenPGP... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2010 / май
2010
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь




Paragon Partition Manager 7.0

Опубликован способ обхода большинства современных антивирусов
dl // 09.05.10 19:53
Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows (в исследовании перечислено 34 уязвимых продукта, но список вполне может быть расширен).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/05.html]
Метод ориентируется на антивирусы, использущие популярный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).

Суть метода заключается в подсовывании системному драйверу безопасного кода с последующей подменой его на атакующий код (после того как безопасный код прошел все проверки). Атака должна быть точно выверена по времени, чтобы подмена не произошла слишком рано или слишком поздно, но задача упрощается на современных многоядерных процессорах.

Результатом атаки может быть как исполнение кода, который был бы заблокирован антивирусом в другой ситуации, так и блокировка либо удаление антивируса непривилегированным пользователем. У атаки есть определенные ограничения, поскольку она использует большое количество кода. Так что она не очень пригодна для быстрого незаметного проникновения, но вполне может быть скомбинирована с установкой поддельных крупных продуктов.

Источник: The Register      
теги: virus  |  предложить новость  |  обсудить  |  все отзывы (3) [7040]
назад «  » вперед

аналогичные материалы
Распространение WannaCry остановила регистрация домена // 13.05.17 12:50
Массовая атака на пользователей ведущих новостных сайтов // 16.03.16 15:33
Скандальная неделя // 14.08.15 22:11
Опасная уязвимость в продуктах Eset // 25.06.15 00:30
Первый троян, способный распространяться через образы VMware // 22.08.12 01:25
Взлом MySQL.com // 27.09.11 09:34
Виста попала под атаку вируса 13-летней давности // 17.09.07 17:34
 
последние новости
25 лет FreeBSD // 19.06.18 12:33
Microsoft покупает GitHub // 04.06.18 20:25
Уязвимости в реализациях OpenPGP и S/MIME // 15.05.18 17:31
Twitter просит пользователей срочно поменять пароли // 04.05.18 17:53
Google прикрыл domain fronting // 19.04.18 20:39
Opera VPN закрывается // 15.04.18 18:54
13 уязвимостей в процессорах AMD // 13.03.18 21:48

Комментарии:

Думаю, требуются некоторые пояснения 10.05.10 08:33  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 10.05.10 08:34  Количество правок: 1
<"чистая" ссылка>
Вообще метод довольно интересный и в данном случае (в отличие от всяких чОрных экранов смерти и прочей "чумы") совершенно реальный. Но журналисты и здесь все переврали

Опубликован способ обхода всех современных антивирусов
Ну, во первых не всех, скажем Forefront/MSSE в списке не значатся (в основном потому, что в MS запрещено стыковать разные продукты при помощи недокументированных API - anticompetitive и все такое, но об этом позже).

Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows
Во-вторых, атака действительно имеет место быть и действительно позволяет обходить т.н. "проактивную" защиту. По крайней мере значительные ее части. Но именно и только ее. Антивирусные мониторы таким способом не обойти, потому как там используются (мини)фильтры файловых систем, не имеющие никакого отношения к SSDT.

Метод ориентируется на антивирусы, использущие штатный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).
Этот способ какой угодно, но уж никак не штатный. Настолько не штатный, что на x64 системах, PatchGuard немедленно уведет систему в bugcheck при попытке использования этого штатного метода. Он нигде не документирован и, соответственно, не рекомендован к использованию. MSSE, не использующий хуков SSDT этой уязвимости не подвержен (как и большинство антивирусов с отключенной проактивной защитой).
я так понял, что без этих хуков все еще проще, но могу ошибаться 10.05.10 13:27  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
А разъяснение хорошее, уточню текст.
Не совсем. Без этих хуков, не будет например работать защита... 11.05.10 03:36  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Не совсем. Без этих хуков, не будет например работать защита процессов от прибивания (многие антивирусы балуются таким) или защита от загрузки недоверенных драйверов (здесь опять таки, антивирусный монитор не обходится - он все так же просканирует бинарник драйвера перед загрузкой).

Что предлагает MS по этому поводу:
1. Не работать под администратором/не выключать UAC. При отсутствии прав на открытие процесса (а антивирусные процессы чаще всего запускается как сервисы) его и завершить нельзя.
2. Работать на x64 системах (честно говоря уже не помню чего с этим в x86 - кажется есть настройка, позволяющая форсить проверку подписей для драйверов). Собственно совершенно очевидно, что от подписывания малвари никто не застрахован, но сертификат отзовут быстрее (ну или во всяком случае не медленнее), чем обновят антивирусные базы

Резюмируя, уязвимость действительно есть (это важный момент, ибо уж очень часто шумиха поднимается на пустом месте вообще), но она не настолько критичная, как это описывается в том же The Register (причем, опять таки, оригинальные авторы и не пытаются преувеличивать, это сделала именно пресса).
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2018 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach