RACK911 ಲ್ಯಾಬ್ಸ್ನ ಸಂಶೋಧಕರು Windows, Linux ಮತ್ತು macOS ಗಾಗಿನ ಬಹುತೇಕ ಎಲ್ಲಾ ಆಂಟಿವೈರಸ್ ಪ್ಯಾಕೇಜ್ಗಳು ಮಾಲ್ವೇರ್ ಪತ್ತೆಯಾದ ಫೈಲ್ಗಳ ಅಳಿಸುವಿಕೆಯ ಸಮಯದಲ್ಲಿ ರೇಸ್ ಪರಿಸ್ಥಿತಿಗಳನ್ನು ಕುಶಲತೆಯಿಂದ ಆಕ್ರಮಣಕ್ಕೆ ಗುರಿಯಾಗುತ್ತವೆ.
ದಾಳಿಯನ್ನು ನಡೆಸಲು, ಆಂಟಿವೈರಸ್ ದುರುದ್ದೇಶಪೂರಿತವೆಂದು ಗುರುತಿಸುವ ಫೈಲ್ ಅನ್ನು ನೀವು ಅಪ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ (ಉದಾಹರಣೆಗೆ, ನೀವು ಪರೀಕ್ಷಾ ಸಹಿಯನ್ನು ಬಳಸಬಹುದು), ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಸಮಯದ ನಂತರ, ಆಂಟಿವೈರಸ್ ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ ಅನ್ನು ಪತ್ತೆ ಮಾಡಿದ ನಂತರ, ಆದರೆ ಕಾರ್ಯವನ್ನು ಕರೆಯುವ ಮೊದಲು ಅದನ್ನು ಅಳಿಸಲು, ಸಾಂಕೇತಿಕ ಲಿಂಕ್ನೊಂದಿಗೆ ಫೈಲ್ನೊಂದಿಗೆ ಡೈರೆಕ್ಟರಿಯನ್ನು ಬದಲಾಯಿಸಿ. ವಿಂಡೋಸ್ನಲ್ಲಿ, ಅದೇ ಪರಿಣಾಮವನ್ನು ಸಾಧಿಸಲು, ಡೈರೆಕ್ಟರಿ ಜಂಕ್ಷನ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಡೈರೆಕ್ಟರಿ ಪರ್ಯಾಯವನ್ನು ನಡೆಸಲಾಗುತ್ತದೆ. ಸಮಸ್ಯೆಯೆಂದರೆ ಬಹುತೇಕ ಎಲ್ಲಾ ಆಂಟಿವೈರಸ್ಗಳು ಸಾಂಕೇತಿಕ ಲಿಂಕ್ಗಳನ್ನು ಸರಿಯಾಗಿ ಪರಿಶೀಲಿಸಲಿಲ್ಲ ಮತ್ತು ಅವು ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ ಅನ್ನು ಅಳಿಸುತ್ತಿವೆ ಎಂದು ನಂಬಿ, ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಸೂಚಿಸುವ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಫೈಲ್ ಅನ್ನು ಅಳಿಸಲಾಗಿದೆ.
Linux ಮತ್ತು macOS ನಲ್ಲಿ ಈ ರೀತಿಯಲ್ಲಿ ಅನಪೇಕ್ಷಿತ ಬಳಕೆದಾರರು /etc/passwd ಅಥವಾ ಯಾವುದೇ ಇತರ ಸಿಸ್ಟಮ್ ಫೈಲ್ ಅನ್ನು ಹೇಗೆ ಅಳಿಸಬಹುದು ಎಂಬುದನ್ನು ತೋರಿಸಲಾಗಿದೆ ಮತ್ತು ವಿಂಡೋಸ್ನಲ್ಲಿ ಆಂಟಿವೈರಸ್ನ DDL ಲೈಬ್ರರಿಯು ಅದರ ಕೆಲಸವನ್ನು ನಿರ್ಬಂಧಿಸುತ್ತದೆ (ವಿಂಡೋಸ್ನಲ್ಲಿ ದಾಳಿಯು ಅಳಿಸಲು ಮಾತ್ರ ಸೀಮಿತವಾಗಿದೆ ಪ್ರಸ್ತುತ ಇತರ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಂದ ಬಳಸದ ಫೈಲ್ಗಳು). ಉದಾಹರಣೆಗೆ, ಆಕ್ರಮಣಕಾರರು "ಶೋಷಣೆ" ಡೈರೆಕ್ಟರಿಯನ್ನು ರಚಿಸಬಹುದು ಮತ್ತು ಪರೀಕ್ಷಾ ವೈರಸ್ ಸಹಿಯೊಂದಿಗೆ EpSecApiLib.dll ಫೈಲ್ ಅನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಬಹುದು ಮತ್ತು ನಂತರ "C:\Program Files (x86)\McAfee\" ಲಿಂಕ್ನೊಂದಿಗೆ "ಶೋಷಣೆ" ಡೈರೆಕ್ಟರಿಯನ್ನು ಬದಲಾಯಿಸಿ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಅನ್ನು ಅಳಿಸುವ ಮೊದಲು ಎಂಡ್ಪಾಯಿಂಟ್ ಸೆಕ್ಯುರಿಟಿ\ಎಂಡ್ಪಾಯಿಂಟ್ ಸೆಕ್ಯುರಿಟಿ”, ಇದು ಆಂಟಿವೈರಸ್ ಕ್ಯಾಟಲಾಗ್ನಿಂದ EpSecApiLib.dll ಲೈಬ್ರರಿಯನ್ನು ತೆಗೆದುಹಾಕಲು ಕಾರಣವಾಗುತ್ತದೆ. ಲಿನಕ್ಸ್ ಮತ್ತು ಮ್ಯಾಕೋಸ್ಗಳಲ್ಲಿ, ಡೈರೆಕ್ಟರಿಯನ್ನು “/ ಇತ್ಯಾದಿ” ಲಿಂಕ್ನೊಂದಿಗೆ ಬದಲಾಯಿಸುವ ಮೂಲಕ ಇದೇ ರೀತಿಯ ಟ್ರಿಕ್ ಅನ್ನು ಮಾಡಬಹುದು.
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
inotifywait -m "/home/user/exploit/passwd" | grep -m 5 "ಓಪನ್"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
ಮಾಡಲಾಗುತ್ತದೆ
ಇದಲ್ಲದೆ, Linux ಮತ್ತು macOS ಗಾಗಿನ ಅನೇಕ ಆಂಟಿವೈರಸ್ಗಳು /tmp ಮತ್ತು /private/tmp ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ತಾತ್ಕಾಲಿಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ಊಹಿಸಬಹುದಾದ ಫೈಲ್ ಹೆಸರುಗಳನ್ನು ಬಳಸುವುದು ಕಂಡುಬಂದಿದೆ, ಇದನ್ನು ಮೂಲ ಬಳಕೆದಾರರಿಗೆ ಸವಲತ್ತುಗಳನ್ನು ಹೆಚ್ಚಿಸಲು ಬಳಸಬಹುದು.
ಇಲ್ಲಿಯವರೆಗೆ, ಹೆಚ್ಚಿನ ಪೂರೈಕೆದಾರರಿಂದ ಸಮಸ್ಯೆಗಳನ್ನು ಈಗಾಗಲೇ ಸರಿಪಡಿಸಲಾಗಿದೆ, ಆದರೆ ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಮೊದಲ ಅಧಿಸೂಚನೆಗಳನ್ನು 2018 ರ ಶರತ್ಕಾಲದಲ್ಲಿ ತಯಾರಕರಿಗೆ ಕಳುಹಿಸಲಾಗಿದೆ ಎಂಬುದು ಗಮನಾರ್ಹ. ಎಲ್ಲಾ ಮಾರಾಟಗಾರರು ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡದಿದ್ದರೂ, ಪ್ಯಾಚ್ ಮಾಡಲು ಅವರಿಗೆ ಕನಿಷ್ಠ 6 ತಿಂಗಳುಗಳನ್ನು ನೀಡಲಾಗಿದೆ ಮತ್ತು ದೋಷಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲು RACK911 ಲ್ಯಾಬ್ಸ್ ಈಗ ಉಚಿತವಾಗಿದೆ ಎಂದು ನಂಬುತ್ತದೆ. RACK911 ಲ್ಯಾಬ್ಸ್ ದೀರ್ಘಕಾಲದಿಂದ ದೋಷಗಳನ್ನು ಗುರುತಿಸುವಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತಿದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ, ಆದರೆ ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವಲ್ಲಿ ವಿಳಂಬ ಮತ್ತು ಭದ್ರತೆಯನ್ನು ತುರ್ತಾಗಿ ಸರಿಪಡಿಸುವ ಅಗತ್ಯವನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದರಿಂದ ಆಂಟಿವೈರಸ್ ಉದ್ಯಮದ ಸಹೋದ್ಯೋಗಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು ತುಂಬಾ ಕಷ್ಟಕರವಾಗಿರುತ್ತದೆ ಎಂದು ನಿರೀಕ್ಷಿಸಿರಲಿಲ್ಲ. ಸಮಸ್ಯೆಗಳು.
ಪೀಡಿತ ಉತ್ಪನ್ನಗಳು (ಉಚಿತ ಆಂಟಿವೈರಸ್ ಪ್ಯಾಕೇಜ್ ClamAV ಅನ್ನು ಪಟ್ಟಿ ಮಾಡಲಾಗಿಲ್ಲ):
- ಲಿನಕ್ಸ್
- ಬಿಟ್ಡೆಫೆಂಡರ್ ಗ್ರಾವಿಟಿ Z ೋನ್
- ಕೊಮೊಡೊ ಎಂಡ್ಪಾಯಿಂಟ್ ಭದ್ರತೆ
- ಫೈಲ್ ಸರ್ವರ್ ಭದ್ರತೆಯನ್ನು ಹೊಂದಿಸಿ
- ಎಫ್-ಸೆಕ್ಯೂರ್ ಲಿನಕ್ಸ್ ಸೆಕ್ಯುರಿಟಿ
- ಕ್ಯಾಸ್ಪರ್ಸಿ ಎಂಡ್ಪಾಯಿಂಟ್ ಸೆಕ್ಯುರಿಟಿ
- ಮ್ಯಾಕ್ಅಫೀ ಎಂಡ್ಪಾಯಿಂಟ್ ಸೆಕ್ಯುರಿಟಿ
- ಲಿನಕ್ಸ್ಗಾಗಿ ಸೋಫೋಸ್ ಆಂಟಿ-ವೈರಸ್
- ವಿಂಡೋಸ್
- ಅವಾಸ್ಟ್ ಫ್ರೀ ಆಂಟಿ-ವೈರಸ್
- ಅವಿರಾ ಫ್ರೀ ಆಂಟಿ-ವೈರಸ್
- ಬಿಟ್ಡೆಫೆಂಡರ್ ಗ್ರಾವಿಟಿ Z ೋನ್
- ಕೊಮೊಡೊ ಎಂಡ್ಪಾಯಿಂಟ್ ಭದ್ರತೆ
- ಎಫ್-ಸುರಕ್ಷಿತ ಕಂಪ್ಯೂಟರ್ ರಕ್ಷಣೆ
- ಫೈರ್ಐ ಎಂಡ್ಪಾಯಿಂಟ್ ಭದ್ರತೆ
- ಇಂಟರ್ಸೆಪ್ಟ್ ಎಕ್ಸ್ (ಸೋಫೋಸ್)
- ಕ್ಯಾಸ್ಪರ್ಸ್ಕಿ ಎಂಡ್ಪಾಯಿಂಟ್ ಭದ್ರತೆ
- ವಿಂಡೋಸ್ಗಾಗಿ ಮಾಲ್ವೇರ್ಬೈಟ್ಗಳು
- ಮ್ಯಾಕ್ಅಫೀ ಎಂಡ್ಪಾಯಿಂಟ್ ಸೆಕ್ಯುರಿಟಿ
- ಪಾಂಡ ಗುಮ್ಮಟ
- ವೆಬ್ರೂಟ್ ಎಲ್ಲಿಯಾದರೂ ಸುರಕ್ಷಿತವಾಗಿದೆ
- MacOS
- AVG
- ಬಿಟ್ ಡಿಫೆಂಡರ್ ಒಟ್ಟು ಭದ್ರತೆ
- ಸೈಬರ್ ಭದ್ರತೆಯನ್ನು ಹೊಂದಿಸಿ
- ಕ್ಯಾಸ್ಪರ್ಸ್ಕಿ ಇಂಟರ್ನೆಟ್ ಸೆಕ್ಯುರಿಟಿ
- ಮ್ಯಾಕ್ಅಫೀಯ ಒಟ್ಟು ರಕ್ಷಣೆ
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ಡಿಫೆಂಡರ್ (ಬೀಟಾ)
- ನಾರ್ಟನ್ ಸೆಕ್ಯುರಿಟಿ
- ಸೋಫೋಸ್ ಹೋಮ್
- ವೆಬ್ರೂಟ್ ಎಲ್ಲಿಯಾದರೂ ಸುರಕ್ಷಿತವಾಗಿದೆ
ಮೂಲ: opennet.ru