Антивирусное программное обеспечение может быть взломано для уничтожения данных

Исследователь кибербезопасности утверждает, что нашел способ «обмануть» популярные антивирусные инструменты, заставив их удалить пользовательские данные.

DATE 13.12.2022 READ ~5 мин SRC внешний источник ← блог оригинал ↗

Многие популярные части антивирусного ПО, такие как Microsoft, SentinelOne, TrendMicro, Avast и AVG, могут быть взломаны. за их возможности удаления данных, заявил ведущий исследователь кибербезопасности.

В доказательстве концепции документ, получивший название "Айкидо", Ор Яир, который работает в фирме по кибербезопасности SafeBreach, объяснил, как эксплойт работает через так называемую уязвимость «время проверки к времени использования» (TOCTOU).

Примечательно, что в боевых искусствах айкидо относится к японскому стилю, в котором практик пытается использовать движение и сила противника против самого себя.

Как это работает?

Эта уязвимость может использоваться для облегчения различных кибератак, известных как «вайперы», согласно Яиру, которые обычно используются в наступательных военных ситуациях.

В кибербезопасности вайпер — это класс вредоносное ПО, направленное на стирание жесткого диска заражаемого им компьютера, злонамеренное удаление данных и программ.

Согласно слайду, эксплойт перенаправляет «сверхсилу» программное обеспечение для обнаружения конечных точек для "удаления любого файла независимо от привилегий".

Полный описанный процесс включал создание вредоносного файла в "C:\temp\Windows\System32\drivers\ndis.sys".

За этим следует удержание его дескриптора и принудительное выполнение "AV/EDR для отсрочки удаления до следующей перезагрузки".

За этим следует удаление «каталога C:\temp» и «создание соединения в C:\temp --> C:\», после чего следует перезагрузка машины.

ПОДРОБНЕЕ:

> Это типы файлов, которые, скорее всего, скрывают вредоносные программы.

> Почти все новые вредоносные программы нацелены на Windows

> Наш путеводитель по лучшим брандмауэрам

Пострадали только некоторые из самых популярных антивирусных брендов, около 50%, по словам Яира.

Согласно слайдам, подготовленным исследователем, Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex Во-первых, Avast Antivirus и AVG Antivirus были затронуты этой уязвимостью.

К счастью для некоторых, такие продукты, как Palo Alto, XDR, Cylance, CrowdStrike, McAfee и BitDefender, не пострадали.

Заинтересованы в обновлении инструментов кибербезопасности? Ознакомьтесь с нашим руководством по лучшим инструментам для удаления вредоносных программ