информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеГде водятся OGRыСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
 Tailscale окончательно забанила... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2010 / май
2010
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь





Опубликован способ обхода большинства современных антивирусов
dl // 09.05.10 19:53
Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows (в исследовании перечислено 34 уязвимых продукта, но список вполне может быть расширен).
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/05/05.html]
Метод ориентируется на антивирусы, использущие популярный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).

Суть метода заключается в подсовывании системному драйверу безопасного кода с последующей подменой его на атакующий код (после того как безопасный код прошел все проверки). Атака должна быть точно выверена по времени, чтобы подмена не произошла слишком рано или слишком поздно, но задача упрощается на современных многоядерных процессорах.

Результатом атаки может быть как исполнение кода, который был бы заблокирован антивирусом в другой ситуации, так и блокировка либо удаление антивируса непривилегированным пользователем. У атаки есть определенные ограничения, поскольку она использует большое количество кода. Так что она не очень пригодна для быстрого незаметного проникновения, но вполне может быть скомбинирована с установкой поддельных крупных продуктов.

Источник: The Register    
теги: virus  |  предложить новость  |  обсудить  |  все отзывы (3) [9020]
назад «  » вперед

аналогичные материалы
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Windows Defender записал во вредоносы все Electron и Chromium приложения // 05.09.22 00:09
Распространение WannaCry остановила регистрация домена // 13.05.17 12:50
Массовая атака на пользователей ведущих новостных сайтов // 16.03.16 15:33
Скандальная неделя // 14.08.15 22:11
Опасная уязвимость в продуктах Eset // 25.06.15 00:30
Первый троян, способный распространяться через образы VMware // 22.08.12 01:25
 
последние новости
Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10
20 лет Ubuntu // 20.10.24 19:11
Tailscale окончательно забанила российские адреса // 02.10.24 18:54
Прекращение работы антивируса Касперского в США // 30.09.24 17:30
Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21
Облачнолазурное // 31.07.24 17:34
TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31

Комментарии:

Думаю, требуются некоторые пояснения 10.05.10 08:33  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 10.05.10 08:34  Количество правок: 1
<"чистая" ссылка>
Вообще метод довольно интересный и в данном случае (в отличие от всяких чОрных экранов смерти и прочей "чумы") совершенно реальный. Но журналисты и здесь все переврали

Опубликован способ обхода всех современных антивирусов
Ну, во первых не всех, скажем Forefront/MSSE в списке не значатся (в основном потому, что в MS запрещено стыковать разные продукты при помощи недокументированных API - anticompetitive и все такое, но об этом позже).

Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows
Во-вторых, атака действительно имеет место быть и действительно позволяет обходить т.н. "проактивную" защиту. По крайней мере значительные ее части. Но именно и только ее. Антивирусные мониторы таким способом не обойти, потому как там используются (мини)фильтры файловых систем, не имеющие никакого отношения к SSDT.

Метод ориентируется на антивирусы, использущие штатный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).
Этот способ какой угодно, но уж никак не штатный. Настолько не штатный, что на x64 системах, PatchGuard немедленно уведет систему в bugcheck при попытке использования этого штатного метода. Он нигде не документирован и, соответственно, не рекомендован к использованию. MSSE, не использующий хуков SSDT этой уязвимости не подвержен (как и большинство антивирусов с отключенной проактивной защитой).
я так понял, что без этих хуков все еще проще, но могу ошибаться 10.05.10 13:27  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
А разъяснение хорошее, уточню текст.
Не совсем. Без этих хуков, не будет например работать защита... 11.05.10 03:36  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Не совсем. Без этих хуков, не будет например работать защита процессов от прибивания (многие антивирусы балуются таким) или защита от загрузки недоверенных драйверов (здесь опять таки, антивирусный монитор не обходится - он все так же просканирует бинарник драйвера перед загрузкой).

Что предлагает MS по этому поводу:
1. Не работать под администратором/не выключать UAC. При отсутствии прав на открытие процесса (а антивирусные процессы чаще всего запускается как сервисы) его и завершить нельзя.
2. Работать на x64 системах (честно говоря уже не помню чего с этим в x86 - кажется есть настройка, позволяющая форсить проверку подписей для драйверов). Собственно совершенно очевидно, что от подписывания малвари никто не застрахован, но сертификат отзовут быстрее (ну или во всяком случае не медленнее), чем обновят антивирусные базы

Резюмируя, уязвимость действительно есть (это важный момент, ибо уж очень часто шумиха поднимается на пустом месте вообще), но она не настолько критичная, как это описывается в том же The Register (причем, опять таки, оригинальные авторы и не пытаются преувеличивать, это сделала именно пресса).
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssh ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach