Опубликован способ обхода большинства современных антивирусов
11.05.2010
Исследователи из matousec.com описали метод, позволяющий обходить практически все современные антивирусные системы, работающие под Windows (в исследовании перечислено 34 уязвимых продукта, но список вполне может быть расширен). Метод ориентируется на антивирусы, использущие популярный способ по встраиванию кода в ядро системы с помощью модификации System Service Descriptor Table (SSDT).
Суть метода заключается в подсовывании системному драйверу безопасного кода с последующей подменой его на атакующий код (после того как безопасный код прошел все проверки). Атака должна быть точно выверена по времени, чтобы подмена не произошла слишком рано или слишком поздно, но задача упрощается на современных многоядерных процессорах.
Результатом атаки может быть как исполнение кода, который был бы заблокирован антивирусом в другой ситуации, так и блокировка либо удаление антивируса непривилегированным пользователем. У атаки есть определенные ограничения, поскольку она использует большое количество кода. Так что она не очень пригодна для быстрого незаметного проникновения, но вполне может быть скомбинирована с установкой поддельных крупных продуктов.
Источники: BugTrack (ru), The Register (eng).
[<<< Следующая новость] [Все новости] [Предыдущая новость >>>]
Почтовый сервер
Mikrotik
VPN
3proxy
Шифрование
Squid
Резервное копирование
Защита почты
Виртуальные машины
Настройка сервера
java
kvm
Групповые политики
SELinux
OpenVPN
IPFW
WDS
Lightsquid
Samba
firewalld
systemd
Mobile
libvirt
Remote desktop
WiFi
Iptables
NAT
Postfix
Dovecot
Удаление данных
Софт
Безопасность
Winbox
User agent
Хостинг
Передача данных
Онлайн сервисы
Privacy
LetsEncrypt
VPN сервер
Настройка прокси
RRDTool
sendmail
Rsync
Linux
SSH
Система
Windows
Синхронизация
Облако
fail2ban
FreeBSD