اگر یک آنتی ویروس بر روی سیستم خود نصب کردهاید و با خیال آسوده به گشت و گذار در اینترنت میپردازید، بهتر است بدانید یک روش به شدت ساده برای از کار انداختن و دور زدن دهها آنتی ویروس محبوب کشف شده است. این روش به حدی ساده است که می تواند موجب خنده تان شود.
یک کمپانی امنیتی به نام RACK911 Labs موفق به شناسایی و اکسپلویت یک حفره امنیتی در تقریباً کلیه آنتی ویروسها شده است. با بهره گیری از این حفره و اکسپولیت کردن آن، در وجود آنتی ویروس هم میتوان کنترل سیستم عامل را به دست گرفت یا آن را مختل کرد. این روش با موفقیت بر روی ویندوز، مک و لینوکس آزمایش شده است.
پیش از هر چیز باید بگوییم آنتی ویروسهای زیر با موفقیت از کار انداخته شدهاند یا دور زده شدهاند:
- Avast Free Anti-Virus
- Avira Free Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-Secure Computer Protection
- FireEye Endpoint Security
- Intercept X (Sophos)
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- McAfee Endpoint Security
- Panda Dome
- Webroot Secure Anywhere
- AVG
- BitDefender Total Security
- Eset Cyber Security
- Kaspersky Internet Security
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Eset File Server Security
- F-Secure Linux Security
- Sophos Anti-Virus for Linux
ماجرا از رفتار آنتی ویروسها در مواجه با فایلهای مخرب یا بدافزارها آغاز میشود. هنگامی که آنتی ویروس با یک فایل جدید مواجه میشود، بلافاصله یا با گذشت چند دقیقه آن را اسکن میکند تا از بی خطر بودن آن اطمینان حاصل کند. پژوهشگرهای RACK911 Labs دریافتهاند در تقریباً تمامی آنتی ویروسهای رایج، یک خلاء زمانی بسیار کوتاه میان شناسایی و پاکسازی بدافزارها وجود دارد که با بهره گرفتن از این خلاء، میتوان آنتی ویروس را از کار انداخت یا سیستم قربانی را بدافزار دلخواه آلوده کرد.
آنها برای این کار از دو قابلیت Directory Junctions در ویندوز و Symlinks در مک و لینوکس بهره گرفتهاند که به ترتیب دو مسیر و دو فایل را به یکدیگر پیوند میدهند. آنتی ویروسها ذاتاً با بالاترین مجوزهای سیستم عامل اجرا میشوند و با در نظر گرفتن همین واقعیت، میتوان از خلاء زمانی یاد شده برای دست یابی به مجوزهای حساس سوء استفاده کرد.
پژوهشگرها حتی کُد اثبات این حمله را نیز ارائه کردهاند که فوقالعاده ساده است. ابتدا در محیط ویندوز با استفاده از قابلیت Directory Junctions یک پوشه دلخواه به یکی از پوشههای حاوی فایلهای آنتی ویروس پیوند داده میشود. در گام بعدی از خلاء زمانی بسیار کوتاه که پیشتر اشاره شد، برای کپی کردن یک بدافزار به پوشه ایجاد شده استفاده میشود. از آنجایی که این پوشه با استفاده از قابلیت Directory Junctions ویندوز به یکی از پوشههای مورد استفاده خود آنتی ویروس متصل شده است، موجب کپی شدن بدافزار به پوشه آنتی ویروس و اجرای آن با همان سطح از دسترسیهای آنتی ویروس میشود.
:loop
rd /s /q C:\Users\User\Desktop\exploit
mkdir C:\Users\User\Desktop\exploit
echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\User\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\User\Desktop\exploit
mklink /J C:\Users\User\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop
قرار دادن این کدهای بسیار ساده درون یک حلقه تکرار، باعث میشود بالاخره در یک نقطه قادر به بهره گیری از خلاء زمانی ایجاد شده باشد. در این نوع حمله بدافزار میتواند به گونهای طراحی شود که خود آنتی ویروس را از کار بیندازد.
خوشبختانه پژوهشگرها یافته های خود را از 6 ماه قبل با سازندگان آنتی ویروس در میان گذاشته اند و اغلب محصولات لیست یاد شده ایمن شده اند. با این حال برآورد می شود تقریباً کلیه آنتی ویروس های رایج حاوی این نقص باشند، از همین رو تضمینی وجود ندارد که همه آنتی ویروس های فعلی ایمن شده باشند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت