Ученые превратили антивирусы в оружие для кибератак.
Команда исследователей двух университетов Германии разработала метод, позволяющий превратить сканирующий движок антивирусной программы в инструмент для кибератак.
Атаки базируются на способности антивирусов обнаруживать вредоносное ПО, основываясь на сигнатурах. Данный метод работы антивирусных решений предполагает рассмотрение файла или пакета согласно словарю известных вредоносов, составленному авторами антивируса. Если какой-либо участок кода просматриваемой программы соответствует известной сигнатуре в словаре, антивирус либо удалит файл, либо отправит в карантин.
По словам исследователей, злоумышленник может изъять сигнатуры из сканирующего движка или понять принцип их работы и использовать антивирус для уничтожения хранящихся на атакуемой системе файлов. Если внедрить копию сигнатуры вредоносного ПО в легитимный файл, антивирусная программа примет его за вредонос и удалит (в лучшем случае поместит в карантин). Таким образом злоумышленник может саботировать работу целого предприятия.
Исследователям удалось получить сигнатуры вредоносного ПО из пяти сканирующий движков. Один из них – движок с открытым исходным кодом ClamAV, а остальные четыре разработаны неназванными коммерческими предприятиями. Эксперты использовали сигнатуры для осуществления трех типов атак: прикрытия угадывания паролей путем удаления журналов приложений, удаления электронных писем пользователей и упрощения атак путем удаления файлов cookie браузера.
Так если уже имеется доступ к файлу, почему нельзя сразу его испортить/удалить?
да как бы метод не новый. касперского обвиняли в том, что он регулярно занимался вбросами в общую базу вирусов чистых файлов и этим заставлял другие антивирусы ложно срабатывать.
осталось только мелочь: заразить систему вирусом, который будет портить системные файлы. А дальше - как по маслу.
Я плачу от квалификации таких учёных. Конечно же про тестовый вирус EICAR им не было ничего известно....
А разве это новый способ? Я, например, лет 5 назад точно словил вирус который заражал все запускаемые мной и системой exe-шники (вроде даже и библиотеки dll), а потом антивирус считал это вирусами и собственно предлагал мне удалить их.