- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 52
Четыре исследователя из двух университетов в Германии разработали метод превращения сканирующего движка антивируса в оружие для кибератак.
Как это работает?
Атака сосредоточена на сигнатурах вредоносных программ — технике, которая полагается на фильтры для поиска шаблонов внутри байтов файла. Аналитики изучают образцы вредоносного ПО и создают сигнатуру, которая будет использоваться движком антивируса.
Когда движок сканирует новый файл, он смотрит на сигнатуру вредоносной программы, которая сообщает ему, что нужно искать определённое содержимое между байтами X и Y. Если файл соответствует этому фильтру, то антивирус отмечает файл как вредоносный и удаляет его или помещает в карантин.
И как же использовать антивирус в виде оружия?
Исследовательская группа заявляет, что, найдя способ извлечения этих сигнатур из антивируса или выведения их из строя, злоумышленник может использовать движок антивируса для уничтожения файлов. Вся идея состоит в том, что, после внедрения копии сигнатуры вредоносного ПО в обычный файл, антивирус уничтожит его или поместит в карантин.
В своем документе четверо ученых представили метод получения сигнатур вредоносных программ из пяти сканеров вредоносных программ, один из которых — с открытым исходным кодом, а остальные четыре разработаны неназванными коммерческими предприятиями.
Они используют эти сигнатуры для выполнения трех типов атак:
Исследователи предлагают несколько методов борьбы с этими типами атак. Они подробно описаны в .
— .
Как это работает?
Атака сосредоточена на сигнатурах вредоносных программ — технике, которая полагается на фильтры для поиска шаблонов внутри байтов файла. Аналитики изучают образцы вредоносного ПО и создают сигнатуру, которая будет использоваться движком антивируса.
Когда движок сканирует новый файл, он смотрит на сигнатуру вредоносной программы, которая сообщает ему, что нужно искать определённое содержимое между байтами X и Y. Если файл соответствует этому фильтру, то антивирус отмечает файл как вредоносный и удаляет его или помещает в карантин.
И как же использовать антивирус в виде оружия?
Исследовательская группа заявляет, что, найдя способ извлечения этих сигнатур из антивируса или выведения их из строя, злоумышленник может использовать движок антивируса для уничтожения файлов. Вся идея состоит в том, что, после внедрения копии сигнатуры вредоносного ПО в обычный файл, антивирус уничтожит его или поместит в карантин.
В своем документе четверо ученых представили метод получения сигнатур вредоносных программ из пяти сканеров вредоносных программ, один из которых — с открытым исходным кодом, а остальные четыре разработаны неназванными коммерческими предприятиями.
Они используют эти сигнатуры для выполнения трех типов атак:
- удаления журналов приложений;
- удаления электронных писем пользователя;
- удаления cookie-файлов браузера;
Исследователи предлагают несколько методов борьбы с этими типами атак. Они подробно описаны в .
— .