RACK911 laboratoriyasi tadqiqotchilari Windows, Linux va macOS uchun deyarli barcha antivirus paketlari zararli dastur aniqlangan fayllarni o'chirish paytida poyga sharoitlarini manipulyatsiya qiluvchi hujumlarga qarshi himoyasiz bo'lgan.
Hujumni amalga oshirish uchun siz antivirus zararli deb tan olgan faylni yuklashingiz kerak (masalan, siz sinov imzosidan foydalanishingiz mumkin) va ma'lum vaqtdan so'ng, antivirus zararli faylni aniqlagandan so'ng, lekin funktsiyani chaqirishdan oldin darhol. uni o'chirish uchun katalogni ramziy havolaga ega fayl bilan almashtiring. Windows-da xuddi shunday effektga erishish uchun kataloglarni almashtirish katalog birikmasi yordamida amalga oshiriladi. Muammo shundaki, deyarli barcha antiviruslar ramziy havolalarni to'g'ri tekshirmagan va zararli faylni o'chirayotganiga ishonib, ramziy havola ko'rsatadigan katalogdagi faylni o'chirib tashlagan.
Linux va macOS-da qanday qilib imtiyozsiz foydalanuvchi /etc/passwd yoki boshqa tizim faylini o'chirishi va Windows-da antivirusning DDL kutubxonasi uning ishini bloklashi mumkinligi ko'rsatilgan (Windows-da hujum faqat o'chirish bilan cheklangan. boshqa ilovalar tomonidan ishlatilmaydigan fayllar). Masalan, tajovuzkor “eksploit” katalogini yaratishi va unga test virus imzosi bilan EpSecApiLib.dll faylini yuklashi, keyin esa “eksploit” katalogini “C:\Program Files (x86)\McAfee\ havolasi bilan almashtirishi mumkin. Endpoint Security\Endpoint Security” uni oʻchirishdan oldin Platforma”, bu EpSecApiLib.dll kutubxonasini antivirus katalogidan olib tashlashga olib keladi. Linux va macos-da xuddi shunday hiyla-nayrangni katalogni "/etc" havolasi bilan almashtirish orqali amalga oshirish mumkin.
#! / ming / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OCHIQ”
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
qilingan
Bundan tashqari, Linux va macOS uchun ko'plab antiviruslar /tmp va /private/tmp katalogidagi vaqtinchalik fayllar bilan ishlashda oldindan aytib bo'ladigan fayl nomlaridan foydalanishi aniqlandi, ulardan ildiz foydalanuvchisiga imtiyozlarni oshirish uchun foydalanish mumkin.
Hozirga kelib, muammolar ko'pchilik etkazib beruvchilar tomonidan allaqachon tuzatilgan, ammo e'tiborga loyiqki, muammo haqida birinchi xabarlar ishlab chiqaruvchilarga 2018 yilning kuzida yuborilgan. Garchi barcha sotuvchilar yangilanishlarni chiqarmagan bo'lsalar ham, ularga tuzatish uchun kamida 6 oy vaqt berilgan va RACK911 Labs endi zaifliklarni oshkor qilish bepul deb hisoblaydi. Ta'kidlanishicha, RACK911 Labs uzoq vaqtdan beri zaifliklarni aniqlash ustida ishlamoqda, biroq yangilanishlarni chiqarishdagi kechikishlar va xavfsizlikni zudlik bilan tuzatish zaruriyatini e'tiborsiz qoldirishi sababli antivirus sanoatidagi hamkasblar bilan ishlash bunchalik qiyin bo'lishini kutmagan edi. muammolar.
Ta'sir qilingan mahsulotlar (ClamAV bepul antivirus to'plami ro'yxatda yo'q):
- Linux
- BitDefender GravityZone
- Comodo Endpoint Security
- Eset fayl server xavfsizligi
- F-Secure Linux xavfsizligi
- Kaspersy Endpoint Security
- McAfee Endpoint xavfsizligi
- Linux uchun Sophos Anti-Virus
- Windows
- Avast bepul antivirus
- Avira bepul antivirus
- BitDefender GravityZone
- Comodo Endpoint Security
- F-xavfsiz kompyuter himoyasi
- FireEye so'nggi nuqta xavfsizligi
- Intercept X (Sofos)
- Kasperskiy Endpoint Security
- Windows uchun zararli dasturlar
- McAfee Endpoint xavfsizligi
- Panda gumbazi
- Webroot har qanday joyda xavfsiz
- MacOS
- AVG
- BitDefender umumiy xavfsizligi
- Eset Cyber Security
- Kasperskiy Internet xavfsizligi
- McAfee Total Protection
- Microsoft Defender (BETA)
- Norton havfsizligi
- Sophos uyi
- Webroot har qanday joyda xavfsiz
Manba: opennet.ru