Новый метод атаки: антивирусы бессильны
Бесполезная все-таки вещь — антивирус, но крайне необходимая, чтоб лишний раз успокоить себя!.. Суть метода заключается в следующем: внедряется в антивирус и используя эксплуатацию драйверов перехвата операций, которые антивирусы скрывают в ядре ОС. Сперва этим драйверам отправляется замаскированный вредоносный код, который после прохождения процедуры проверки становится активным.
Как это работает? Поскольку большинство компьютеров имеют в своем арсенале многоядерные процессоры и поддержка многозадачности, уже не стоит на первом плане, а стоит время переключения между процессами, которое достигает долей и долей секунды, что дезориентирует почти все антивирусы под Windows. Если антивирус использует таблицу дескрипторов системных служб (SSDT), то «ключик у злоумышленника в кармане».
Минус в том, что для атаки необходимо подгрузить «немерянно» кода, что не совсем удобно при атаках, основанных на shell-коде. Также, необходимо уже иметь доступ к машине жертвы, чтоб загружать сторонние скрипты.
Плюс — это возможность работать в связке с другим вредоносным кодом, например, с уязвимостью для Adobe Reader или виртуальной Java машины, что обеспечит беспрепятственную установку без обнаружения антивирусом.
Интересной особенностью является возможно «деинсталить» антивирус, используя ограниченные права пользователя Windows, кому интересно — цены на услуги collocation в москве (см. www.di-net.ru).
Твитнуть