По словам
исследователей Якуба Бречки (Jakub Beka) и Давида Матушека (David
Matoušek) из команды веб-ресурса Matousek.com, им удалось сформировать
схема обхода защиты, встроенной в большинство популярных настольных
антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского»,
Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.
Методика
такова: на вход антивируса посылается безвредный код, проходящий все
защитные барьеры, но, в прошлом чем он начнет исполняться, производится
его подмена на вредоносную составляющую. Понятно, замена должна
проистечь жестко в необходимый момент, но на практике всё упрощается
благодаря тому, что современные системы располагают многоядерным
окружением, когда единственный поток не в состоянии отследить действия
параллельных потоков. В итоге может быть обманут практически каждый
Windows-антивирус.
Руткит функционирует в том случае, если
антивирусное ПО использует таблицу дескрипторов системных служб (System
Service Descriptor Table, SSDT) для внесения изменений в участки ядра
операционной системы. Поскольку все современные защитные средства
оперируют на уровне ядра, штурмовая вылазка работает на 100%, причем
более того в том случае, если Windows запущена под учётной записью с
ограниченными полномочиями.
Вместе с тем руткит требует загрузки
большого объёма кода на атакуемую машину, потому он не применим, когда
требуется сберечь прыть и незаметность атаки. Кроме того, злоумышленник
должен располагать возможностью выполнения двоичного файла на целевом
компьютере.
Методика может быть скомбинирована с традиционной атакой
на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не
пробуждая подозрений у антивируса в истинности намерений. Ну а следом
хакер волен и совсем истребить все защитные барьеры, на сто процентов
удалив из системы мешающий антивирус.
|
