DoubleAgent: złośliwe oprogramowanie które przejmuje kontrolę nad antywirusem

[OXYGEN THIEF]

DoubleAgent to nowe i bardzo ciekawe złośliwe oprogramowanie które potrafi przejąć kontrolę praktycznie nad wszystkimi popularnymi antywirusami, nawet tymi które według producentów są antywirusami nowej generacji.DoubleAgent wykorzystując luki w antywirusie wstrzykuje w niego złośliwy kod dzięki któremu atakujący przejmuje nad nim kontrolę co otwiera furtkę do kolejnych infekcji.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[OXYGEN THIEF]

Ile razy widzieliśmy w publikowanych przez producentów oprogramowania antywirusowego zapewnienia, że najlepszym sposobem na zabezpieczenie się jest 1. regularne aktualizowanie systemu, 2. używanie antywirusa? Zapewne tak właśnie jest – na zwykłego, klikającego sobie radośnie w Sieci użytkownika czyha mnóstwo zagrożeń. Sęk w tym, że jednym z tych zagrożeń może być sam antywirus. Zaprezentowany przez firmę Cybellum

Zaloguj lub Zarejestruj się aby zobaczyć!

pozwala wykorzystać oprogramowanie zabezpieczające Windows do zaatakowania systemu operacyjnego.

Atak, który otrzymał już nazwę Double Agent, wykorzystuje podatność w narzędziu

Zaloguj lub Zarejestruj się aby zobaczyć!

, służącym do wyszukiwania błędów w aplikacjach pisanych w C++ na wszystkich Windowsach od XP poczynając. Badacze Cybellum odkryli nieudokumentowaną funkcję tego narzędzia, która daje napastnikowi możliwość zastąpienia standardowego mechanizmu weryfikacji swoim własnym – i wstrzyknięcia go w dowolną aplikację.

A jeśli już wstrzykiwać, to w co, jeśli nie antywirusa, który działa w systemie z najwyższymi uprawnieniami i może robić co chce? Przed atakiem przeprowadzanym w ten sposób nie ochronią żadne zabezpieczenia stosowane w organizacji – uzłośliwiony antywirus obejdzie je wszystkie, a nawet je wyłączy. Napastnik rejestrując przejętą bibliotekę DLL do procesu należącego do oprogramowania ochronnego może pozwolić sobie na wszelkie złośliwości – może instalować furtki w oprogramowaniu, uaktywniać keyloggery, wyłączać zapory sieciowe, czy też szyfrować i kasować pliki.



Co gorsze, opracowany przez Cybellum atak prowadzi do infekcji niemal niemożliwej do usunięcia bez wyczyszczenia dysku i zainstalowania systemu na nowo. Wstrzyknięty kod przetrwa bowiem wszelkie restarty i instalacje łatek, jak również aktualizacje antywirusów, które miałyby je zabezpieczyć przed takim atakiem.


Kod źródłowy tej techniki ataku został udostępniony

Zaloguj lub Zarejestruj się aby zobaczyć!

, na blogu Cybellum opublikowano jej

Zaloguj lub Zarejestruj się aby zobaczyć!

, a więc sytuacja jest całkiem poważna: przejąć w ten sposób można antywirusy firm takich jak Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal i Trend Micro – a to nie wszystko. Z tego co piszą odkrywcy luki, odporny jest jedynie Windows Defender, który korzysta z wprowadzonej kilka lat temu przez Microsoft koncepcji Chronionych Procesów, uodpornionych na wstrzykiwanie kodu.


Jak do tej pory łatkę dla swoich produktów wydały jedynie AVG i TrendMicro. Sami zaś odkrywcy przygotowali demonstracje ataku, przejęcia antywirusa Symanteca, Aviry i Comodo. Wyglądają nieźle. Oczywiście w razie realnego ataku, zielone uspokajające napisy o tym, że jesteś chroniony, pozostaną zielone i uspokajające.

info:dobreprogramy.pl