Найден способ обойти любой антивирус через образ диска

Опубликовано 09.09.2019 at 09.09.2019 | admin

Найден простой и остроумный способ обойти абсолютно любую защиту Windows и заразить компьютер вредоносом: для этого нужно просто поместить малварь внутрь образа диска форматов VHD и VHDX.

Исследователь Уилл Дорманн (Will Dormann) из Координационного центра CERT обнаружил «слепую зону» системы Windows и антивирусных программ. Находящиеся внутри образов файлы не будут проверяться антивирусными программами, пока пользователь не смонтирует образ и не запустит их.

Формат файла VHD (виртуальный жесткий диск) может хранить содержимое жесткого диска. После подключения образ VHD-диска отображается в Windows как обычный жесткий диск, физически подключенный к системе. Образы VHDX (Virtual Hard Disk v2) функционально эквивалентны VHD, но включают более современные функции, такие как поддержка больших размеров и изменение размера диска.

Дорманн заявил, что смог найти несколько способов аварийного завершения работы Windows в результате подключения поврежденного диска. Файлы VHD и VHDX устраняют необходимость физического доступа к системе. Пользователю достаточно дважды кликнуть на файл VHD или VHDX со специально сформированной файловой системой, что может привести к завершению работы системы.

Любопытно, что операционная система Windows умеет отличать степень опасности данных на основе их источника. Для этого система обозначает файлы ярлыком Mark of the Web (MOTW), выдавая им лишь ограниченный доступ к ресурсам компьютера. Пользователи в данной ситуации видят специальное предупреждение о потенциальном риске запуска файлов, скачанных из интернета.

Хотя ярлык MOTW присваивается всем загруженным из интернета файлам, включая архивы, этот принцип в настоящее время не распространяется на файлы образов VHD и VHDX, несмотря на их сходство с ZIP-архивами. Любой находящийся внутри VHD и VHDX файл не будет расцениваться Windows в качестве потенциальной угрозы, как это происходит с другими типами файлов, загруженных из Сети.

Дорманн протестировал ряд антивирусов и не нашел ни одного антивирусного ПО, способного сканировать файлы, содержащиеся в VHD или VHDX. Если содержимое файлов VHD и VHDX не сканируется решениями безопасности электронной почты и web-шлюзов, у системы нет шансов обнаружить вредоносные программы, содержащихся в файлах VHD или VHDX.

Так как официального решения проблемы пока не существует, в целях безопасности исследователь рекомендует блокировать файлы VHD и VHDX на почтовых шлюзах и отменить регистрацию расширений данных файлов в «Проводнике» Windows.