По словам специалистов интернет-ресурса Matousek.com Якуба Бржечки и
Давида Матоушека им удалось разработать возможность обхода защиты
практически всех антивирусных решений. Это и Avast!, и Dr.Web, и ESET, и McAffee, и Sophos,
и Symantec, и Panda, и антивирус
Касперского и т.д.
Обход защиты осуществляется следующим способом: на вход антивирусного
приложения подается простой код, который проходит через все выстроенные
преграды, но в тот момент когда он должен начать свою работу
производится замена его на вредоносную форму. Конечно, замена кода
должна происходить в строго определенный момент, но практически все
работает очень легко, так как в новых системах, которые обладают
многоядерными решениями один поток уже не может отследить работу
остальных потоков.
Данная методика функционирует тогда, когда в антивирусе применяется
таблица дескрипторов системных служб (System Service Descriptor Table,
SSDT), что позволяет изменять участки ядра ОС. Если учесть, что все
современные антивирусы работают на уровне ядра, то успех атаки равняется
100%.
Есть некоторые ограничения по использованию этого метода. Это и большой
размер кода, который нужно загрузить, что не позволит применить его,
когда нужна скорость проникновения и незаметность, а так же хакер должен
располагать возможностями исполнения двоичного кода на целевой системе.
Метод комбинируется с обычными нападениями на уязвимые версии Acrobat
Reader или Sun Java Virtual Machine, не вызывая у защитных барьеров
подозрений. А после удачного проникновения злоумышленник вполне способен
уничтожить и сам антивирус.
|