AVGater Exploit зловживання антивірусні програми отримати повну систему поглинання

Computer Security News

Безпеки дослідники недавно зустріти новий доказ концепції використання яких атакує з антивірусних програм. Dubbed AVGater, експлуатувати знайти шляхи до компромісу антивірусне карантин для того, щоб отримати повний контроль над інфікованого пристрою.

Безпека дослідника, який розкривається питання було Флоріан Богнер від Відня, Австрія. Він назвав експлуатувати AVGater, тому що, як він каже, що “Кожна нова вразливість потребує своє власне ім’я і логотип”. За словами Богнер AVGater діє “маніпулюванні процес відновлення з карантину вірус”.

“Зловживаннями з NTFS реєстр розв’язок, процес відновити AV карантину можна маніпулювати, так що раніше із карантину файли можна записати на довільний файл розташування системних.” -динамічно Богнер в своєму блозі – “відновлення файлі раніше на карантині, система дозволів AV Windows користувача режимі обслуговування захищені зловживали і зловмисних бібліотека розміщується в папці, де в даний час в системі користувач не може записати до, під звичайний умови.»

Богнер сказав, що він негайно повідомив Emsisoft Лабораторії Касперського, Trend Micro, ИКАРУС програмного забезпечення, КПП та Malwarebytes питання, і вони все вже випустили латка для уразливих продуктів. Так як дослідник не спеціально згадав Symantec ані McAfee у своєму блозі, до цих пір жоден з двох постачальників у відповідь на запитання.

Богнер настійно рекомендує, що користувачі тримати їх антивірусне програмне забезпечення оновлено для того, щоб уникнути піддається нападу AVGater. Однак, він також додав, що має обмежені експлуатувати.

“Як AVGator тільки може бути використана, якщо можна відновити файли з раніше карантину, я рекомендуємо всім в корпоративному середовищі блокувати нормальних користувачів від відновлення визначили загрози.” -заявив Богнер – “Це мудрий будь-яким чином”.

Згідно Сатья Гупта, засновник і технічний директор Virsec системи, програма загрози програмного забезпечення компанія заснована в Сан-Хосе, штат Каліфорнія, AVGater є доказом того, що нападники знайшов ще один спосіб, що дозволяє їм маніпулювати “законні процесів для запуску шкідливий код або скрипти.”

“Це ще один цвях у труну для звичайного підпису, підставі рішень antivirus. Ми знали на деякий час, fileless і пам’яті, підставі подвиги літають під радаром більшість AV системи, але тепер Хакери можуть використовувати AV інструменти по суті відключити себе. “ -Гупта сказав SearchSecurity – “хакери Коулменом і неминуче буде знайти розумних способів обійти периметр безпеки. Битва має рухатися до захисту цілісність додатків для процесу і пам’яті подвиги. “


Leave a Reply

Your email address will not be published. Required fields are marked *