Новый метод атаки способен обходить практически все антивирусы

  Исследователи авторитетного сайта matousec.com разработали новый способ обхода средств защиты, встроенных в десятки самых популярных антивирусных продуктов для конечных пользователей, включая антивирусы от «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

  Данный метод работает через эксплуатацию драйверов перехвата операций, которые антивирусные программы прячут глубоко внутри операционной системы. Сначала этим драйверам посылается с виду безобидный код, который после прохождения процедуры проверки подменяется на вредоносный.

  Эксплоит должен быть запущен в точно выверенное время, чтобы его выполнение не началось слишком рано или поздно. Однако, учитывая то обстоятельство, что большинство современных компьютеров основано на многоядерных процессорах, в них зачастую невозможно отследить выполнение ряда одновременно исполняемых процессов. Именно поэтому новый способ обхода защиты может ввести в заблуждение почти все антивирусы для Windows. Для успешной атаки необходимо лишь, чтобы антивирус использовал таблицу дескрипторов системных служб (SSDT).

  Исследователи проверили 34 антивирусных пакета для Windows и все они оказались уязвимыми для атаки. Более того, придуманный ими способ срабатывает даже тогда, когда пользователь работает из-под аккаунта с ограниченными привилегиями.

  Впрочем, есть и ограничения. Так, для успешного завершения нападения требуется загрузить на целевую систему достаточно много кода, что не позволяет использовать данный эксплоит при атаках, основанных на шелл-кодах. Кроме того, для проведения атаки требуется, чтобы злоумышленник уже имел возможность запускать на компьютере жертвы произвольный код.

  Тем не менее, данный алгоритм может быть использован в связке с существующей уязвимостью в том же Adobe Reader или виртуальной машине Java, при этом вредоносное приложение будет установлено без срабатывания антивирусного ПО. К тому же, по словам известного эксперта Чарли Миллера, с помощью данной атаки можно удалить антивирусную программу, работая из-под ограниченного аккаунта Windows.