Разработана методика подмены нейтрального кода, который не вызывает никаких подозрений, на вредную составляющую, которая позволяет полностью уничтожить антивирус.
Удалось создать метод обхода защиты, встроенной в большинство популярных антивирусных продуктов.
Об этом заявили ученые Якуб Бречка и Давид Матушек из команды веб-ресурса Matousek.com, им
Уязвимы продукты “Лаборатории Касперского”, Dr.Web, Avast!, Sophos, ESET, MCAFFEE, Symantec, Panda и т. д.
Методика такова: на вход антивируса посылается безобидный код, проходящий все защитные барьеры, однако, до того как он начнет исполняться, производится его подмена на вредоносную составляющую. Ясно, замена обязана произойти строго в необходимый миг, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда 1 поток не в состоянии проследить действия параллельных потоков. В результате может оказаться обманут фактически каждый Windows-антивирус.
Эксплойт работает в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Так как все современные средства защиты оперируют на уровне ядра, атака работает на 100%, при этом даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.
При этом эксплойт требует загрузки крупного объёма кода на атакуемую машину, по этой причине он не применим, когда требуется сохранить скорость и незаметность атаки. Более того, злоумышленник должен располагать возможностью исполнения двоичного файла на целевом компьютере.
Методика может оказаться скомбинирована с классической атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а после хакер свободен и вовсе изничтожить все защитные барьеры, целиком удалив из системы мешающий антивирус.
http://ru.tsn.ua/nauka_it/izobreten-sposob-obmana-lyubyh-antivirusov.html