Антивирусы научились заставлять самоуничтожаться

Опубликовано at 19:45
153 0

Главное подобрать правильный тайминг.

Специалисты компании RACK911 Labs рассказали, как с помощью символических ссылок (directory junction на Windows и symlink на macOS и Linux) можно превратить практически любое антивирусное решение в инструмент для самоуничтожения.

Символическая («мягкая») ссылка (также «симлинк», от англ. Symbolic link) — специальный файл в файловой системе, в котором вместо пользовательских данных содержится путь к файлу, открываемому при обращении к данной ссылке (файлу).

Большинство антивирусных решений работают по типовой схеме: при сохранении неизвестного файла на жесткий диск компьютера антивирус сканирует его в реальном времени. Если файл признается подозрительным, он либо отправляется в «карантин», то есть, защищенное место, где ожидает дальнейших действий пользователя, либо удаляется. В связи с характером проводимых операций антивирусное ПО как правило обладает на системе наивысшими привилегиями.

Однако в большинстве антивирусных решений не учитывается небольшой зазор времени между сканированием файла и дальнейшими действиями с ним. Воспользовавшись этой лазейкой, вредонос или хакер может вызвать неопределенность параллелизма с помощью символических ссылок. Наивысшие привилегии позволят отключить антивирусное ПО или сделать его полностью бесполезным.

На практике исследователи смогли успешно удалить важные файлы антивирусного ПО на компьютерах под управлением Windows, macOS и Linux, а также уничтожили ключевые системные файлы, тем самым вызвав серьезные повреждения, потребовавшие переустановки ОС.

По словам исследователей, осуществить представленную ими атаку очень просто, и бывалый хакер справится с ней без труда. Самое сложное – определить точное время, когда нужно выполнить directory junction или symlink.

Есть, впрочем, и некоторые антивирусные решения, где для запуска самоуничтожения антивируса было достаточно закольцевать запуск эксплоита.

Из соображений безопасности подробности об атаке не раскрываются, самим вендорам о ней сообщили уже давно. По состоянию на весну 2020 большинство из них, за небольшим исключением, уже исправили уязвимость.

Читайте также на АКБ:

Mitsubishi Electric взломали через уязвимость в антивирусе Trend Micro

Подписываемся, следим @CyberAgency

Related Post