Lêkolînerên ji RACK911 Labs ku hema hema hemî pakêtên antivirus ên ji bo Windows, Linux û macOS di dema jêbirina pelên ku tê de malware hatine tesbît kirin ji êrişên ku şert û mercên nijadê manîpule dikin xeternak bûn.
Ji bo ku êrîşek pêk bînin, hûn hewce ne ku pelek ku antivirus wekî xeternak nas dike (mînak, hûn dikarin îmzeyek ceribandinê bikar bînin) barkirin, û piştî demek diyarkirî, piştî ku antivirus pelê xirab tespît bike, lê tavilê berî ku bangî fonksiyonê bike. ji bo jêbirin, pelrêça bi pelê bi girêdanek sembolîk veguherîne. Li ser Windows-ê, ji bo bidestxistina heman bandorê, veguheztina pelrêçê bi karanîna girêdanek pelrêçê tête kirin. Pirsgirêk ev e ku hema hema hemî antivirus bi rêkûpêk girêdanên sembolîk kontrol nekirine û, bi baweriya ku ew pelek xirab jêbirin, pelê di pelrêça ku girêdana sembolîk nîşan dide jêbirin.
Di Linux û macOS-ê de tê xuyang kirin ku bi vî rengî bikarhênerek bêdestûr dikare /etc/passwd an pelek pergalê ya din jêbibe, û di Windows-ê de pirtûkxaneya DDL ya antivirus bixwe ku karê wê asteng bike (di Windows-ê de êrîş tenê bi jêbirinê ve sînordar e. pelên ku niha ji hêla serîlêdanên din ve nayên bikar anîn). Mînakî, êrîşkarek dikare pelrêça "exploit" biafirîne û pelê EpSecApiLib.dll bi îmzeya testa virusê tê de bar bike, û dûv re pelrêça "exploit" bi lînka "C:\Program Files (x86)\McAfee\ biguherîne. Ewlekariya Endpoint\Endpoint Security" berî ku wê Platformê jêbirin", ku dê bibe sedema rakirina pirtûkxaneya EpSecApiLib.dll ji kataloga antivirus. Di Linux û macos de, bi guheztina pelrêça bi girêdana "/etc" re, hîleyek wusa dikare were kirin.
#! / bin / sh
rm -rf /mal/user/exploit; mkdir /mal/bikarhêner/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
dema inotifywait -m "/mal/user/exploit/passwd" | grep -m 5 "OPEN"
do
rm -rf /mal/user/exploit; ln -s /etc /mal/user/exploit
kirin,
Digel vê yekê, gelek bernameyên antivirus ên ji bo Linux û macOS-ê hatin dîtin ku dema ku bi pelên demkî re di pelrêçên /tmp û /private/tmp de dixebitin navên pelên pêşbînbar bikar tînin, ku dikarin ji bo zêdekirina îmtiyazan ji bikarhênerê root re werin bikar anîn.
Heya nuha, pirsgirêk ji hêla piraniya dabînkeran ve hatine rast kirin, lê balkêş e ku yekem agahdariya di derbarê pirsgirêkê de di payîza 2018-an de ji hilberîneran re hatine şandin. Her çend ne hemî firoşkaran nûvekirin berdan jî, bi kêmî ve 6 meh ji wan re hatiye dayîn ku paç bikin, û RACK911 Labs bawer dike ku ew nuha belaş e ku qelsiyan eşkere bike. Tê destnîşan kirin ku RACK911 Labs ji demek dirêj ve li ser tespîtkirina qelsiyan dixebitî, lê ne li bendê bû ku ji ber dereng berdana nûvekirinan û paşguhkirina hewcedariya bilez rastkirina ewlehiyê ew ê ewqas dijwar be ku bi hevkarên pîşesaziya antivirus re bixebite. pirsgirêkên.
Berhemên bandorkirî (pakêta antivirus a belaş ClamAV nayê navnîş kirin):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Ewlekarî
- Ewlekariya Pêşkêşkara Pelê ya Eset
- F-Ewlekariya Linux-a Ewlehî
- Ewlekariya Kaspersy Endpoint
- Ewlekariya Endamê McAfee
- Sophos Anti-Virus ji bo Linux
- Windows
- Avast Free-Anti-Virus
- Avira Free-Anti-Virus
- BitDefender GravityZone
- Comodo Endpoint Ewlekarî
- F-Secure Parastina Komputerê
- FireEye Endpoint Ewlekariya
- InterceptX (Sophos)
- Ewlekariya Kaspersky Endpoint
- Malwarebytes ji bo Windows
- Ewlekariya Endamê McAfee
- Qubeya Panda
- Webroot Li Her Cihê Ewle Bibin
- MacOS
- AVG
- BitDefender Ewlekariya Tevahî
- Ewlekariya Sîber Eset
- Ewlekariya Kaspersky Înternetê
- Parastina Tevahî McAfee
- Microsoft Defender (BETA)
- Ewlekariya Nortonê
- Home Sophos
- Webroot Li Her Cihê Ewle Bibin
Source: opennet.ru