Malvér môže použiť tento trik na obídenie ochrany proti ransomvéru v antivírusových riešeniach

Výskumníci odhalili významné bezpečnostné slabiny v populárnych antivírusových softvérových aplikáciách, ktoré by mohli byť zneužité na deaktiváciu ich ochrany a prevzatie kontroly nad povolenými aplikáciami na vykonávanie hanebných operácií v mene malvéru s cieľom poraziť ochranu proti ransomvéru.

Dvojité útoky, ktoré podrobne popísali akademici z Luxemburskej univerzity a Londýnskej univerzity, sú zamerané na obídenie funkcie chráneného priečinka, ktorú ponúkajú antivírusové programy na šifrovanie súborov (aka „Cut-and-Mouse“) a deaktiváciu ich ochrany v reálnom čase. simuláciou udalostí „kliknutia“ myšou (aka „Ghost Control“).

„Poskytovatelia antivírusového softvéru vždy ponúkajú vysokú úroveň zabezpečenia a sú základným prvkom každodenného boja proti zločincom,“ povedal profesor Gabriele Lenzini, hlavný vedecký pracovník Interdisciplinárneho centra pre bezpečnosť, spoľahlivosť a dôveru na Luxemburskej univerzite. “Ale súperia so zločincami, ktorí majú teraz stále viac zdrojov, moci a odhodlania.”

Inak povedané, nedostatky v softvéri na zmiernenie škodlivého softvéru nemohli len povoliť, aby neautorizovaný kód vypol ich ochranné funkcie, chyby v dizajne v riešení chránených priečinkov poskytovaných dodávateľmi antivírusových programov by mohol napríklad ransomvér zneužiť na zmenu obsahu súborov pomocou poskytnutej aplikácie. prístup k zápisu do priečinka a šifrovanie používateľských údajov alebo stierací softvér na neodvolateľné zničenie osobných súborov obetí.

Chránené priečinky umožňujú používateľom špecifikovať priečinky, ktoré vyžadujú dodatočnú vrstvu ochrany pred deštruktívnym softvérom, čím potenciálne zablokujú akýkoľvek nebezpečný prístup k chráneným priečinkom.

„Malá skupina aplikácií na bielej listine má privilégiá na zapisovanie do chránených priečinkov,“ uviedli vedci. “Samotné aplikácie z whitelistu však nie sú chránené pred zneužitím inými aplikáciami. Táto dôvera je preto neopodstatnená, keďže malvér môže vykonávať operácie s chránenými priečinkami pomocou aplikácií z bielej listiny ako sprostredkovateľov.”

Scenár útoku, ktorý navrhli vedci, odhalil, že škodlivý kód možno použiť na ovládanie dôveryhodnej aplikácie, ako je Poznámkový blok, na vykonávanie operácií zápisu a šifrovanie súborov obete uložených v chránených priečinkoch. Na tento účel ransomvér prečíta súbory v priečinkoch, zašifruje ich v pamäti a skopíruje do systémovej schránky, po čom ransomvér spustí Poznámkový blok, aby prepísal obsah priečinka údajmi zo schránky.

Ešte horšie je, že využitím programu Paint ako dôveryhodnej aplikácie výskumníci zistili, že vyššie uvedená sekvencia útokov sa dá použiť na prepísanie súborov používateľa náhodne vygenerovaným obrázkom, aby sa natrvalo zničili.

Na druhej strane, útok Ghost Control by mohol mať sám o sebe vážne dôsledky, pretože vypnutie ochrany pred malvérom v reálnom čase simuláciou legitímnych akcií používateľa vykonávaných na používateľskom rozhraní antivírusového riešenia by mohlo protivníkovi umožniť zahodiť a spustiť akýkoľvek nečestný program. zo vzdialeného servera pod ich kontrolou.

Z 29 antivírusových riešení hodnotených počas štúdie sa zistilo, že 14 z nich je zraniteľných voči útoku Ghost Control, zatiaľ čo všetkých 29 testovaných antivírusových programov bolo ohrozených útokom Cut-and-Mouse. Vedci neuviedli mená predajcov, ktorých sa to týkalo.

Zistenia sú pripomienkou toho, že bezpečnostné riešenia, ktoré sú výslovne navrhnuté na ochranu digitálnych aktív pred útokmi škodlivého softvéru, môžu trpieť slabými stránkami, a tak maria svoj vlastný účel. Aj keď poskytovatelia antivírusového softvéru pokračujú v posilňovaní obrany, autori malvéru prekračujú tieto bariéry prostredníctvom vyhýbacích a zahmlievacích taktík, nehovoriac o obchádzaní ich behaviorálnej detekcie pomocou vstupov protivníka prostredníctvom otravných útokov.

“Bezpečná skladateľnosť je dobre známym problémom bezpečnostného inžinierstva,” uviedli vedci. “Komponenty, ktoré, ak sa berú izolovane, ponúkajú určitý známy útočný povrch, generujú pri integrácii do systému širší povrch. Komponenty interagujú navzájom a s ostatnými časťami systému vytvárajú dynamiku, s ktorou môže interagovať aj útočník a spôsobmi.” ktoré projektant nepredpokladal.“