Исследователи двух университетов Германии разработала метод, позволяющий превратить сканирующий движок антивирусной программы в инструмент для кибератак.
Атаки основаны на способности антивирусов обнаруживать вредоносное ПО, основываясь на сигнатурах. Данный метод работы антивирусных решений предполагает рассмотрение файла или пакета согласно словарю известных вредоносов, составленному авторами антивируса. Если какой-либо участок кода просматриваемой программы соответствует известной сигнатуре в словаре, антивирус либо удалит файл, либо отправит в карантин.
По словам исследователей, злоумышленник может изъять сигнатуры из санирующего движка или понять принцип их работы и использовать антивирус для уничтожения хранящихся на атакуемой системе файлов. Если внедрить копию сигнатуры вредоносного ПО в легитимный файл, антивирусная программа примет его за вредонос и удалит (в лучшем случае поместит в карантин). Таким образом злоумышленник может саботировать работу целого предприятия.
Специалистам удалось получить сигнатуры вредоносного ПО из пяти сканирующий движков. Один из них – движок с открытым исходным кодом ClamAV, а остальные четыре разработаны неназванными коммерческими предприятиями. Эксперты использовали сигнатуры для осуществления трех типов атак: прикрытия угадывания паролей путем удаления журналов приложений, удаления электронных писем пользователей и упрощения атак путем удаления файлов cookie браузера.
Атаки основаны на способности антивирусов обнаруживать вредоносное ПО, основываясь на сигнатурах. Данный метод работы антивирусных решений предполагает рассмотрение файла или пакета согласно словарю известных вредоносов, составленному авторами антивируса. Если какой-либо участок кода просматриваемой программы соответствует известной сигнатуре в словаре, антивирус либо удалит файл, либо отправит в карантин.
По словам исследователей, злоумышленник может изъять сигнатуры из санирующего движка или понять принцип их работы и использовать антивирус для уничтожения хранящихся на атакуемой системе файлов. Если внедрить копию сигнатуры вредоносного ПО в легитимный файл, антивирусная программа примет его за вредонос и удалит (в лучшем случае поместит в карантин). Таким образом злоумышленник может саботировать работу целого предприятия.
Специалистам удалось получить сигнатуры вредоносного ПО из пяти сканирующий движков. Один из них – движок с открытым исходным кодом ClamAV, а остальные четыре разработаны неназванными коммерческими предприятиями. Эксперты использовали сигнатуры для осуществления трех типов атак: прикрытия угадывания паролей путем удаления журналов приложений, удаления электронных писем пользователей и упрощения атак путем удаления файлов cookie браузера.
.jpg)
