RACK911 ల్యాబ్స్ నుండి పరిశోధకులు
దాడిని నిర్వహించడానికి, మీరు యాంటీవైరస్ హానికరమైనదిగా గుర్తించే ఫైల్ను అప్లోడ్ చేయాలి (ఉదాహరణకు, మీరు పరీక్ష సంతకాన్ని ఉపయోగించవచ్చు), మరియు నిర్దిష్ట సమయం తర్వాత, యాంటీవైరస్ హానికరమైన ఫైల్ను గుర్తించిన తర్వాత, కానీ వెంటనే ఫంక్షన్కు కాల్ చేయడానికి ముందు దీన్ని తొలగించడానికి, ఫైల్తో డైరెక్టరీని సింబాలిక్ లింక్తో భర్తీ చేయండి. విండోస్లో, అదే ప్రభావాన్ని సాధించడానికి, డైరెక్టరీ జంక్షన్ ఉపయోగించి డైరెక్టరీ ప్రత్యామ్నాయం నిర్వహించబడుతుంది. సమస్య ఏమిటంటే, దాదాపు అన్ని యాంటీవైరస్లు సింబాలిక్ లింక్లను సరిగ్గా తనిఖీ చేయలేదు మరియు అవి హానికరమైన ఫైల్ను తొలగిస్తున్నాయని నమ్మి, సింబాలిక్ లింక్ సూచించే డైరెక్టరీలోని ఫైల్ను తొలగించారు.
Linux మరియు macOSలో, ఈ విధంగా ఒక ప్రత్యేక హక్కు లేని వినియోగదారు /etc/passwd లేదా ఏదైనా ఇతర సిస్టమ్ ఫైల్ను ఎలా తొలగించవచ్చో చూపబడింది మరియు Windowsలో యాంటీవైరస్ యొక్క DDL లైబ్రరీ దాని పనిని నిరోధించడానికి (Windowsలో దాడిని తొలగించడానికి మాత్రమే పరిమితం చేయబడింది. ప్రస్తుతం ఇతర అప్లికేషన్లు ఉపయోగించని ఫైల్లు). ఉదాహరణకు, దాడి చేసే వ్యక్తి “దోపిడీ” డైరెక్టరీని సృష్టించి, పరీక్ష వైరస్ సంతకంతో EpSecApiLib.dll ఫైల్ను అప్లోడ్ చేసి, ఆపై “ఎక్స్ప్లాయిట్” డైరెక్టరీని “C:\Program Files (x86)\McAfee\ లింక్తో భర్తీ చేయవచ్చు. ఎండ్పాయింట్ సెక్యూరిటీ\ఎండ్పాయింట్ సెక్యూరిటీ” ప్లాట్ఫారమ్ను తొలగించే ముందు, ఇది యాంటీవైరస్ కేటలాగ్ నుండి EpSecApiLib.dll లైబ్రరీని తీసివేయడానికి దారి తీస్తుంది. Linux మరియు macosలో, డైరెక్టరీని “/ etc” లింక్తో భర్తీ చేయడం ద్వారా ఇలాంటి ట్రిక్ చేయవచ్చు.
#! / Bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
అయితే inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “ఓపెన్”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
పూర్తి
అంతేకాకుండా, Linux మరియు macOS కోసం అనేక యాంటీవైరస్లు /tmp మరియు /private/tmp డైరెక్టరీలోని తాత్కాలిక ఫైల్లతో పని చేస్తున్నప్పుడు ఊహించదగిన ఫైల్ పేర్లను ఉపయోగిస్తున్నట్లు కనుగొనబడింది, ఇది రూట్ వినియోగదారుకు అధికారాలను పెంచడానికి ఉపయోగించబడుతుంది.
ఇప్పటికి, చాలా మంది సరఫరాదారులచే సమస్యలు ఇప్పటికే పరిష్కరించబడ్డాయి, అయితే సమస్య గురించి మొదటి నోటిఫికేషన్లు 2018 చివరలో తయారీదారులకు పంపబడటం గమనార్హం. అందరు విక్రేతలు అప్డేట్లను విడుదల చేయనప్పటికీ, వారికి ప్యాచ్ చేయడానికి కనీసం 6 నెలల సమయం ఇవ్వబడింది మరియు హానిలను బహిర్గతం చేయడం ఇప్పుడు ఉచితం అని RACK911 ల్యాబ్లు విశ్వసిస్తున్నాయి. RACK911 ల్యాబ్స్ చాలా కాలంగా దుర్బలత్వాలను గుర్తించే పనిలో ఉన్నట్లు గుర్తించబడింది, అయితే అప్డేట్లను విడుదల చేయడంలో ఆలస్యం మరియు భద్రతను అత్యవసరంగా పరిష్కరించాల్సిన అవసరాన్ని విస్మరించడం వల్ల యాంటీవైరస్ పరిశ్రమకు చెందిన సహోద్యోగులతో కలిసి పనిచేయడం చాలా కష్టమని ఊహించలేదు. సమస్యలు.
ప్రభావిత ఉత్పత్తులు (ఉచిత యాంటీవైరస్ ప్యాకేజీ ClamAV జాబితా చేయబడలేదు):
- linux
- బిట్డెఫెండర్ గ్రావిటీజోన్
- కొమోడో ఎండ్పాయింట్ సెక్యూరిటీ
- ఫైల్ సర్వర్ భద్రతను సెట్ చేయండి
- ఎఫ్-సెక్యూర్ లైనక్స్ సెక్యూరిటీ
- కాస్పెర్సీ ఎండ్పాయింట్ సెక్యూరిటీ
- మెకాఫీ ఎండ్పాయింట్ సెక్యూరిటీ
- లైనక్స్ కోసం సోఫోస్ యాంటీ-వైరస్
- విండోస్
- అవాస్ట్ ఫ్రీ యాంటీ-వైరస్
- అవిరా ఫ్రీ యాంటీ వైరస్
- బిట్డెఫెండర్ గ్రావిటీజోన్
- కొమోడో ఎండ్పాయింట్ సెక్యూరిటీ
- ఎఫ్-సెక్యూర్ కంప్యూటర్ ప్రొటెక్షన్
- ఫైర్ ఐ ఎండ్ పాయింట్ సెక్యూరిటీ
- ఇంటర్సెప్ట్ ఎక్స్ (సోఫోస్)
- కాస్పెర్స్కీ ఎండ్ పాయింట్ సెక్యూరిటీ
- విండోస్ కోసం మాల్వేర్బైట్స్
- మెకాఫీ ఎండ్పాయింట్ సెక్యూరిటీ
- పాండా డోమ్
- వెబ్రూట్ ఎక్కడైనా సురక్షితం
- MacOS
- AVG
- BitDefender మొత్తం భద్రత
- సైబర్ భద్రతను సెట్ చేయండి
- కాస్పెర్స్కే ఇంటర్నెట్ సెక్యూరిటీ
- మెకాఫీ మొత్తం రక్షణ
- మైక్రోసాఫ్ట్ డిఫెండర్ (బీటా)
- నార్టన్ సెక్యూరిటీ
- సోఫోస్ హోమ్
- వెబ్రూట్ ఎక్కడైనా సురక్షితం
మూలం: opennet.ru