Новый метод атаки способен обходить практически все антивирусы

Новый метод атаки способен обходить практически все антивирусы

Данный метод работает через эксплуатацию драйверов перехвата операций, которые антивирусные программы прячут глубоко внутри операционной системы. Сначала этим драйверам посылается с виду безобидный код, который после прохождения процедуры проверки подменяется на вредоносный.

Эксплоит должен быть запущен в точно выверенное время, чтобы его выполнение не началось слишком рано или поздно. Однако, учитывая то обстоятельство, что большинство современных компьютеров основано на многоядерных процессорах, в них зачастую невозможно отследить выполнение ряда одновременно исполняемых процессов. Именно поэтому новый способ обхода защиты может ввести в заблуждение почти все антивирусы для Windows. Для успешной атаки необходимо лишь, чтобы антивирус использовал таблицу дескрипторов системных служб (SSDT).

Исследователи проверили 34 антивирусных пакета для Windows и все они оказались уязвимыми для атаки. Более того, придуманный ими способ срабатывает даже тогда, когда пользователь работает из-под аккаунта с ограниченными привилегиями.

Впрочем, есть и ограничения. Так, для успешного завершения нападения требуется загрузить на целевую систему достаточно много кода, что не позволяет использовать данный эксплоит при атаках, основанных на шелл-кодах. Кроме того, для проведения атаки требуется, чтобы злоумышленник уже имел возможность запускать на компьютере жертвы произвольный код.

Тем не менее, данный алгоритм может быть использован в связке с существующей уязвимостью в том же Adobe Reader или виртуальной машине Java, при этом вредоносное приложение будет установлено без срабатывания антивирусного ПО. К тому же, по словам известного эксперта Чарли Миллера, с помощью данной атаки можно удалить антивирусную программу, работая из-под ограниченного аккаунта Windows.

Источник: