Ученые научились использовать антивирусное ПО для кибератак

10 Май 2017

Пользователи привыкли, что антивирусные программы используются только для защиты их компьютеров от вирусов. Но ученые доказали обратное. Им удалось разработать совершенно новый метод проведения кибератак, в которых задействовались именно антивирусные программы.

Группа немецких исследователей попыталась доказать, что при желании хакеры смогут использовать антивирусные программы для собственных нужд и направить их против обычных пользователей. Для своих экспериментов они использовали движок антивирусного ПО, который применяется для сканирования компьютера и выявления вирусов. Именно его они превратили в главный инструмент для совершения кибератак на компьютеры пользователей.

Вредоносное ПО обнаруживается антивирусными программами обычно благодаря сканированию сигнатур. Именно этот способ использовался учеными для того, чтобы изменить предназначение антивирусников. Обычно антивирусное ПО для своей работы использует имеющиеся базы вредоносов, которые имеются у каждого антивируса. Эти базы создаются разработчиками таких программ и по мере появления новых вирусов постоянно обновляются и пополняются новыми кодами. Все сканируемые файлы прогоняются по этой базе. Если соответствий не найдено, то файл считается не зараженным. Если хотя бы какой-то участок кода соответствует имеющейся в базе сигнатуре, то антивирус предложит или удалить этот файл, или же отправить его на карантин, чтобы в дальнейшем он не мог причинить серьезного вреда.

Исследователи обнаружили, что при определенном вмешательстве в работу антивируса можно не только заставить его пропустить вирус, но и направить его действие против самих пользователей. Например, хакеры могут осуществить изъятие сигнатур из движка, осуществляющего сканирование, и внести изменения в принцип их работы. Злоумышленники могут сделать так, что антивирус начнет уничтожать хранящиеся на ПК файлы даже в том случае, если они не заражены. Хакеры могут внедрить поддельную сигнатуру вируса абсолютно в любой файл. Таким образом, во время сканирования этот файл признается вредоносным и удаляется с компьютера. В лучшем случае он может быть помещен в карантин, но это зависит от тех настроек, которые задаст пользователь. Используя этот метод, хакеры могут повлиять на работу целых предприятий и надолго нарушить ее, ведь определить такой вид атак почти невозможно. Специалистам придется очень долго ломать голову, прежде чем им удастся узнать, в чем проблема.

Во время своих экспериментов немецким исследователям удалось получить доступ к сигнатурам пяти движков антивирусного ПО, сканирующего компьютер на наличие вирусов. При этом один из них имеет открытый исходный код, а другие создавались отдельными организациями для использования в своем фирменном антивирусном ПО. Используя полученные сигнатуры, экспертам удалось совершить 3 типа атак. Первая из них предполагает удаления журналов приложений, что позволяет злоумышленникам угадывать используемые пользователем пароли. Во время второй специалистам удалось получить доступ к электронной почте и удалить имеющиеся там письма. Ну и третий вид атак использовался для удаления cookie браузеров. Такой способ позволял упростить осуществление уже названных и других типов атак.


Скопируйте этот код и вставьте его в свой сайт или блог (HTML)
Скопируйте этот код и вставьте его на форум (BBcode)
Кликните, если это возможно
Комментариев нет.