Исследователи нашли способ использовать антивирус как оружие для кибератак
Новости Отредактировано
Ученые превратили антивирус в оружие для кибератак. Такие атаки базируются на способности антивирусов обнаруживать вредоносные программы по их сигнатурам.
456 открытий465 показов
Четыре исследователя из двух университетов в Германии разработали метод превращения сканирующего движка антивируса в оружие для кибератак.
Как это работает?
Атака сосредоточена на сигнатурах вредоносных программ — технике, которая полагается на фильтры для поиска шаблонов внутри байтов файла. Аналитики изучают образцы вредоносного ПО и создают сигнатуру, которая будет использоваться движком антивируса.
Когда движок сканирует новый файл, он смотрит на сигнатуру вредоносной программы, которая сообщает ему, что нужно искать определённое содержимое между байтами X и Y. Если файл соответствует этому фильтру, то антивирус отмечает файл как вредоносный и удаляет его или помещает в карантин.
И как же использовать антивирус в виде оружия?
Исследовательская группа заявляет, что, найдя способ извлечения этих сигнатур из антивируса или выведения их из строя, злоумышленник может использовать движок антивируса для уничтожения файлов. Вся идея состоит в том, что, после внедрения копии сигнатуры вредоносного ПО в обычный файл, антивирус уничтожит его или поместит в карантин.
В своем документе четверо ученых представили метод получения сигнатур вредоносных программ из пяти сканеров вредоносных программ, один из которых — движок ClamAV с открытым исходным кодом, а остальные четыре разработаны неназванными коммерческими предприятиями.
Они используют эти сигнатуры для выполнения трех типов атак:
- удаления журналов приложений;
- удаления электронных писем пользователя;
- удаления cookie-файлов браузера;
Исследователи предлагают несколько методов борьбы с этими типами атак. Они подробно описаны в докладе команды.
456 открытий465 показов