روی آنتی ویروس‌ها حساب نکنید!

شهر سخت افزار/ اگر يک آنتي ويروس بر روي سيستم خود نصب کرده‌ايد و با خيال آسوده به گشت و گذار در اينترنت مي‌پردازيد، بهتر است بدانيد يک روش به شدت ساده براي از کار انداختن و دور زدن ده‌ها آنتي ويروس محبوب کشف شده است. اين روش به حدي ساده است که مي تواند موجب خنده تان شود. يک کمپاني امنيتي به نام RACK911 Labs موفق به شناسايي و اکسپلويت يک حفره امنيتي در تقريباً کليه آنتي ويروس‌ها شده است. با بهره گيري از اين حفره و اکسپوليت کردن آن، در وجود آنتي ويروس هم مي‌توان کنترل سيستم عامل را به دست گرفت يا آن را مختل کرد. اين روش با موفقيت بر روي ويندوز، مک و لينوکس آزمايش شده است. پيش از هر چيز بايد بگوييم آنتي ويروس‌هاي زير با موفقيت از کار انداخته شده‌اند يا دور زده شده‌اند: Avast Free Anti-Virus Avira Free Anti-Virus BitDefender GravityZone Comodo Endpoint Security F-Secure Computer Protection FireEye Endpoint Security Intercept X (Sophos) Kaspersky Endpoint Security Malwarebytes for Windows McAfee Endpoint Security Panda Dome Webroot Secure Anywhere AVG BitDefender Total Security Eset Cyber Security Kaspersky Internet Security McAfee Total Protection Microsoft Defender (BETA) Norton Security Sophos Home Eset File Server Security F-Secure Linux Security Sophos Anti-Virus for Linux ماجرا از رفتار آنتي ويروس‌ها در مواجه با فايل‌هاي مخرب يا بدافزارها آغاز مي‌شود. هنگامي که آنتي ويروس با يک فايل جديد مواجه مي‌شود، بلافاصله يا با گذشت چند دقيقه آن را اسکن مي‌کند تا از بي خطر بودن آن اطمينان حاصل کند. پژوهشگرهاي RACK911 Labs دريافته‌اند در تقريباً تمامي آنتي ويروس‌هاي رايج، يک خلاء زماني بسيار کوتاه ميان شناسايي و پاک‌سازي بدافزارها وجود دارد که با بهره گرفتن از اين خلاء، مي‌توان آنتي ويروس را از کار انداخت يا سيستم قرباني را بدافزار دلخواه آلوده کرد. آنها براي اين کار از دو قابليت Directory Junctions در ويندوز و Symlinks در مک و لينوکس بهره گرفته‌اند که به ترتيب دو مسير و دو فايل را به يکديگر پيوند مي‌دهند. آنتي ويروس‌ها ذاتاً با بالاترين مجوزهاي سيستم عامل اجرا مي‌شوند و با در نظر گرفتن همين واقعيت، مي‌توان از خلاء زماني ياد شده براي دست يابي به مجوزهاي حساس سوء استفاده کرد. پژوهشگرها حتي کُد اثبات اين حمله را نيز ارائه کرده‌اند که فوق‌العاده ساده است. ابتدا در محيط ويندوز با استفاده از قابليت Directory Junctions يک پوشه دلخواه به يکي از پوشه‌هاي حاوي فايل‌هاي آنتي ويروس پيوند داده مي‌شود. در گام بعدي از خلاء زماني بسيار کوتاه که پيش‌تر اشاره شد، براي کپي کردن يک بدافزار به پوشه ايجاد شده استفاده مي‌شود. از آنجايي که اين پوشه با استفاده از قابليت Directory Junctions ويندوز به يکي از پوشه‌هاي مورد استفاده خود آنتي ويروس متصل شده است، موجب کپي شدن بدافزار به پوشه آنتي ويروس و اجراي آن با همان سطح از دسترسي‌هاي آنتي ويروس مي‌شود. :loop rd /s /q C:\Users\User\Desktop\exploit mkdir C:\Users\User\Desktop\exploit echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\User\Desktop\exploit\EpSecApiLib.dll rd /s /q C:\Users\User\Desktop\exploit mklink /J C:\Users\User\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform” goto loop قرار دادن اين کدهاي بسيار ساده درون يک حلقه تکرار، باعث مي‌شود بالاخره در يک نقطه قادر به بهره گيري از خلاء زماني ايجاد شده باشد. در اين نوع حمله بدافزار مي‌تواند به گونه‌اي طراحي شود که خود آنتي ويروس را از کار بيندازد. خوشبختانه پژوهشگرها يافته هاي خود را از 6 ماه قبل با سازندگان آنتي ويروس در ميان گذاشته اند و اغلب محصولات ليست ياد شده ايمن شده اند. با اين حال برآورد مي شود تقريباً کليه آنتي ويروس هاي رايج حاوي اين نقص باشند، از همين رو تضميني وجود ندارد که همه آنتي ويروس هاي فعلي ايمن شده باشند. در کانال آي‌تي و ™CanaleIT هم کلي عکس و ويدئوي دسته اول و جذاب داريم