Взлом популярных антивирусов от Rack911 Labs

Дата: 20.04.2020. Автор: CISO CLUB. Категории: Новости по информационной безопасности
Взлом популярных антивирусов от Rack911 Labs

Rack911 Labs придумали уникальный и простой метод использования каталогов (Windows) и символических ссылок (mac OS & Linux), способных спровоцировать антивирус уничтожить самого себя.

В большинстве случаев при сохранении неизвестного файла на жестком диске, антивирусное программное обеспечение обычно выполняет “сканирование в реальном времени” либо мгновенно, либо в течение нескольких минут. Если неизвестный файл будет определен как предполагаемая угроза, то он будет автоматически помещен в карантин и перемещен в безопасное место в ожидании дальнейших инструкций пользователя или просто удален.

Учитывая характер того, как должно работать антивирусное программное обеспечение, почти все они работают в привилегированном состоянии, что означает самый высокий уровень полномочий в операционной системе. В этом заключается фундаментальный недостаток, поскольку файловые операции (почти) всегда выполняются на самом высоком уровне, чем и пользуются злоумышленники.

Большинство антивирусных программ не принимают во внимание тот небольшой промежуток времени между первым сканированием файла, которое обнаруживает вредоносный файл и операцией изоляции, которая происходит сразу после этого. Автор вредоносных программ часто может использовать привилегированные файловые операции для отключения антивирусного программного обеспечения или вмешательства в операционную систему.

В ходе тестирования на Windows, macOS и Linux Rack911 Labs смогли легко удалить важные файлы, связанные с антивирусным программным обеспечением, которое сделало его неэффективным, и даже удалить ключевые файлы операционной системы, которые вызвали значительное повреждение, требующее полной переустановки операционной системы.

Видеодемонстрация

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *