شهر سخت افزار/ اگر يک آنتي ويروس بر روي سيستم خود نصب کردهايد و با خيال آسوده به گشت و گذار در اينترنت ميپردازيد، بهتر است بدانيد يک روش به شدت ساده براي از کار انداختن و دور زدن دهها آنتي ويروس محبوب کشف شده است. اين روش به حدي ساده است که مي تواند موجب خنده تان شود.
يک کمپاني امنيتي به نام RACK911 Labs موفق به شناسايي و اکسپلويت يک حفره امنيتي در تقريباً کليه آنتي ويروسها شده است. با بهره گيري از اين حفره و اکسپوليت کردن آن، در وجود آنتي ويروس هم ميتوان کنترل سيستم عامل را به دست گرفت يا آن را مختل کرد. اين روش با موفقيت بر روي ويندوز، مک و لينوکس آزمايش شده است.
پيش از هر چيز بايد بگوييم آنتي ويروسهاي زير با موفقيت از کار انداخته شدهاند يا دور زده شدهاند:
Avast Free Anti-Virus
Avira Free Anti-Virus
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere
AVG
BitDefender Total Security
Eset Cyber Security
Kaspersky Internet Security
McAfee Total Protection
Microsoft Defender (BETA)
Norton Security
Sophos Home
Eset File Server Security
F-Secure Linux Security
Sophos Anti-Virus for Linux
ماجرا از رفتار آنتي ويروسها در مواجه با فايلهاي مخرب يا بدافزارها آغاز ميشود. هنگامي که آنتي ويروس با يک فايل جديد مواجه ميشود، بلافاصله يا با گذشت چند دقيقه آن را اسکن ميکند تا از بي خطر بودن آن اطمينان حاصل کند. پژوهشگرهاي RACK911 Labs دريافتهاند در تقريباً تمامي آنتي ويروسهاي رايج، يک خلاء زماني بسيار کوتاه ميان شناسايي و پاکسازي بدافزارها وجود دارد که با بهره گرفتن از اين خلاء، ميتوان آنتي ويروس را از کار انداخت يا سيستم قرباني را بدافزار دلخواه آلوده کرد.
آنها براي اين کار از دو قابليت Directory Junctions در ويندوز و Symlinks در مک و لينوکس بهره گرفتهاند که به ترتيب دو مسير و دو فايل را به يکديگر پيوند ميدهند. آنتي ويروسها ذاتاً با بالاترين مجوزهاي سيستم عامل اجرا ميشوند و با در نظر گرفتن همين واقعيت، ميتوان از خلاء زماني ياد شده براي دست يابي به مجوزهاي حساس سوء استفاده کرد.
پژوهشگرها حتي کُد اثبات اين حمله را نيز ارائه کردهاند که فوقالعاده ساده است. ابتدا در محيط ويندوز با استفاده از قابليت Directory Junctions يک پوشه دلخواه به يکي از پوشههاي حاوي فايلهاي آنتي ويروس پيوند داده ميشود. در گام بعدي از خلاء زماني بسيار کوتاه که پيشتر اشاره شد، براي کپي کردن يک بدافزار به پوشه ايجاد شده استفاده ميشود. از آنجايي که اين پوشه با استفاده از قابليت Directory Junctions ويندوز به يکي از پوشههاي مورد استفاده خود آنتي ويروس متصل شده است، موجب کپي شدن بدافزار به پوشه آنتي ويروس و اجراي آن با همان سطح از دسترسيهاي آنتي ويروس ميشود.
:loop
rd /s /q C:\Users\User\Desktop\exploit
mkdir C:\Users\User\Desktop\exploit
echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\User\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\User\Desktop\exploit
mklink /J C:\Users\User\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop
قرار دادن اين کدهاي بسيار ساده درون يک حلقه تکرار، باعث ميشود بالاخره در يک نقطه قادر به بهره گيري از خلاء زماني ايجاد شده باشد. در اين نوع حمله بدافزار ميتواند به گونهاي طراحي شود که خود آنتي ويروس را از کار بيندازد.
خوشبختانه پژوهشگرها يافته هاي خود را از 6 ماه قبل با سازندگان آنتي ويروس در ميان گذاشته اند و اغلب محصولات ليست ياد شده ايمن شده اند. با اين حال برآورد مي شود تقريباً کليه آنتي ويروس هاي رايج حاوي اين نقص باشند، از همين رو تضميني وجود ندارد که همه آنتي ويروس هاي فعلي ايمن شده باشند.
بازار