Исследователи нашли способ использовать антивирус как оружие для кибератак

Четыре исследователя из двух университетов в Германии разработали метод превращения сканирующего движка антивируса в оружие для кибератак.

Как это работает?

Атака сосредоточена на сигнатурах вредоносных программ — технике, которая полагается на фильтры для поиска шаблонов внутри байтов файла. Аналитики изучают образцы вредоносного ПО и создают сигнатуру, которая будет использоваться движком антивируса.

Когда движок сканирует новый файл, он смотрит на сигнатуру вредоносной программы, которая сообщает ему, что нужно искать определённое содержимое между байтами X и Y. Если файл соответствует этому фильтру, то антивирус отмечает файл как вредоносный и удаляет его или помещает в карантин.

И как же использовать антивирус в виде оружия?

Исследовательская группа заявляет, что, найдя способ извлечения этих сигнатур из антивируса или выведения их из строя, злоумышленник может использовать движок антивируса для уничтожения файлов. Вся идея состоит в том, что, после внедрения копии сигнатуры вредоносного ПО в обычный файл, антивирус уничтожит его или поместит в карантин.

В своем документе четверо ученых представили метод получения сигнатур вредоносных программ из пяти сканеров вредоносных программ, один из которых — движок ClamAV с открытым исходным кодом, а остальные четыре разработаны неназванными коммерческими предприятиями.

Они используют эти сигнатуры для выполнения трех типов атак:

• удаления журналов приложений;
• удаления электронных писем пользователя;
• удаления cookie-файлов браузера;

Исследователи предлагают несколько методов борьбы с этими типами атак. Они подробно описаны в докладе команды.