Исследователи из проекта Matousec.com компании Different Internet Experience сообщили, что им удалось разработать принципиально новый способ для обхода антивирусной защиты. С помощью разработанных приемов создатели вредоносного кода могут предъявить антивирусу на проверку не вызывающий подозрений код, а затем моментально заменить этот код в памяти на гораздо более опасную программу, способную выполнить даже такие действия, как полное уничтожение антивируса без прав администратора.
Новое открытие основано на том, что подавляющее большинство современных антивирусов используют для анализа файлов и исполняемого кода специальные драйверные перехватчики, скрытые в самых глубинах операционной системы. В прежние времена, когда все операции обрабатывались единым потоком, атакующим пришлось бы немало потрудиться, чтобы своевременно вставить вредоносный код на место только что проверенного фрагмента, но сейчас многоядерные процессоры привели к тому, что один поток обработки (тред) часто не может отследить работу других тредов. В результате практически все современные антивирусные пакеты для Windows можно обмануть и пропустить через них вредоносный код, который в иных условиях будет полностью блокирован. Механизм, помогающий обходить системные механизмы безопасности, которые используют антивирусные продукты, получил название KHOBE (Kernel HOok Bypassing Engine – механизм обхода перехватчиков ядра), а сам метод назван «argument-switch»(подмена аргумента).
Все что нужно для обмана антивирусных программ по новому методу, это чтобы антивирус использовал для изменения ядра операционной системы перехватчики (hook) из таблицы дескрипторов системных служб SSDT (System Service Descriptor Table). По результатам проведенного теста уязвимости оказались подвержены 100% из 34 проверенных продуктов. Кроме того, для выполнения вредоносных действий достаточно, чтобы пользователь вошел под учетной записью, не имеющей полномочий администратора.
Конечно, у нового метода есть серьезные ограничения. Для атаки необходимо поместить на машину большой объем кода, так что новый метод не подойдет для атак с помощью консольных сценариев или атак, где главным фактором успеха является быстрота и незаметность. Фактически, атака по новому методу возможна только тогда, когда атакующий имеет реальную возможность для запуска двоичных исполняемых файлов на атакуемой машине.
Новую технику атаки можно сочетать с использованием уязвимостей в других программах, например, в уязвимых версиях Adobe Reader или Oracle JVM (Java Virtual Machine) – с помощью такой комплексной атаки можно внести на машину вредоносный код, не вызывая подозрений у антивирусной программы. Если разработчику вредоносного кода удастся своевременно подменить содержание проверяемого файла, код вируса может полностью уничтожить установленный и корректно работающий антивирус, обойдя системные перехваты событий в собственном треде и не используя полномочия администратора.
