대부분의 바이러스 백신은 기호 링크를 통한 공격에 취약합니다.

RACK911 연구소의 연구원 주목 Windows, Linux 및 macOS용 거의 모든 바이러스 백신 패키지는 악성 코드가 탐지된 파일을 삭제하는 동안 경쟁 조건을 조작하는 공격에 취약했습니다.

공격을 하려면 안티바이러스가 악성으로 인식하는 파일을 업로드해야 하며(예를 들어 테스트 시그니처를 사용할 수 있음), 일정 시간이 지난 후 안티바이러스가 악성 파일을 탐지한 후 함수 호출 직전에 해야 한다. 이를 삭제하려면 디렉토리를 심볼릭 링크가 있는 파일로 바꾸십시오. Windows에서는 동일한 효과를 얻기 위해 디렉터리 접합을 사용하여 디렉터리 대체가 수행됩니다. 문제는 거의 모든 바이러스 백신이 심볼릭 링크를 제대로 검사하지 않았으며 악성 파일을 삭제한다고 믿고 심볼릭 링크가 가리키는 디렉터리의 파일을 삭제했다는 것입니다.

Linux 및 macOS에서는 권한 없는 사용자가 /etc/passwd 또는 기타 시스템 파일을 삭제할 수 있는 방법과 Windows에서는 바이러스 백신 자체의 DDL 라이브러리가 작업을 차단하는 방법을 보여줍니다(Windows에서는 공격이 삭제로만 제한됨). 현재 다른 응용 프로그램에서 사용하지 않는 파일). 예를 들어 공격자는 "exploit" 디렉터리를 생성하고 테스트 바이러스 서명이 포함된 EpSecApiLib.dll 파일을 로드한 다음 "exploit" 디렉터리를 "C:\Program Files (x86)\McAfee\" 링크로 바꿀 수 있습니다. Endpoint Security\Endpoint Security”를 삭제하기 전에 Platform"을 삭제하면 바이러스 백신 카탈로그에서 EpSecApiLib.dll 라이브러리가 제거됩니다. Linux 및 macos에서는 디렉터리를 "/etc" 링크로 바꾸면 유사한 트릭을 수행할 수 있습니다.

#! / bin / sh의
rm -rf /홈/사용자/악용 ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
inotifywait -m "/home/user/exploit/passwd" | grep -m 5 “열기”
do
rm -rf /홈/사용자/악용 ; ln -s /etc /home/user/exploit
한

더욱이 많은 Linux 및 macOS용 바이러스 백신 프로그램은 /tmp 및 /private/tmp 디렉터리의 임시 파일로 작업할 때 예측 가능한 파일 이름을 사용하는 것으로 밝혀졌습니다. 이는 루트 사용자에게 권한을 승격하는 데 사용될 수 있습니다.

지금까지 대부분의 공급업체에서 문제를 이미 해결했지만, 문제에 대한 첫 번째 알림이 2018년 가을에 제조업체에 전송되었다는 점은 주목할 만합니다. 모든 공급업체가 업데이트를 출시한 것은 아니지만 패치를 적용하는 데 최소 6개월이 주어졌으며 RACK911 Labs는 이제 취약점을 자유롭게 공개할 수 있다고 믿습니다. RACK911 Labs는 오랫동안 취약점 식별 작업을 진행해 왔지만, 업데이트 출시가 지연되고 보안의 긴급 수정 필요성을 무시하는 상황으로 인해 백신 업계 동료들과 협력하는 것이 이 정도로 어려울 것이라고는 예상하지 못했다고 합니다. 문제.

영향을 받는 제품(무료 바이러스 백신 패키지 ClamAV는 목록에 없음):

• Linux
  • 빗디펜더 그래비티존
  • 코모도 엔드 포인트 보안
  • Eset 파일 서버 보안
  • F- 보안 리눅스 보안
  • 카스퍼시 엔드포인트 시큐리티
  • McAfee 엔드 포인트 보안
  • Linux 용 Sophos Anti-Virus
• Windows
  • Avast 무료 안티 바이러스
  • Avira 무료 안티 바이러스
  • 빗디펜더 그래비티존
  • 코모도 엔드 포인트 보안
  • F-Secure 컴퓨터 보호
  • FireEye 엔드 포인트 보안
  • 인터셉트 X (소포스)
  • Kaspersky Endpoint Security
  • Windows 용 Malwarebytes
  • McAfee 엔드 포인트 보안
  • 팬더 돔
  • Webroot Secure Anywhere
• macOS
  • AVG
  • 빗 디펜더 종합 보안
  • ESET 사이버 보안
  • 카스퍼 스키 인터넷 시큐리티
  • 맥아피 토털 프로텍션
  • Microsoft Defender (베타)
  • 노턴 보안
  • 소포스 홈
  • Webroot Secure Anywhere

  출처 : opennet.ru