Nova opasna taktika napada

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napisano: 13 Maj 2010 10:58

Nedavno obelodanjena taktika napada koja premošćava sigurnosnu zaštitu većine modernih antivirus softvera je veoma opasan problem, ocenjuju pojedini sigurnosni stručnjaci. Prošle srede, istraživači pri Matousec.com su obelodanili kako napadači mogu da iskoriste opciju u okviru drivera jezgra koju većina sigurnosnih softvera koristi da preusmeri Windows sistemske rade preko njihovog softvera sa ciljem provere potencijalnog zlonamernog koda pre nego što se omogući njegovo izvršenje. Sigurnosni istraživači smatraju ovaj problem ozbiljnim navodeći da verovatno gotovo svaki antivirus softver koji radi pod XP-om može da bude ovako iskorišćen. izvor i nastavak : http://www.itsvet.com/arhiva/2010-05-13

Dopuna: 13 Maj 2010 10:59

moje misljenje je da je ovo jos jedan razlog da se predje sa windows xp,ali ipak to je samo moje misljenje

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

@AreoNN

Da se predje a XP ili na 7 ?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

moja greska sorry, jos jedan razlog da se predje na windows 7 odnoson da se predje sa xp na 7-icu

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:According to Matousec, nearly three-dozen Windows desktop security titles, including ones from Symantec, McAfee, Trend Micro, BitDefender, Sophos and others, can be exploited using the argument-switch tactic. Matousec said it had tested the technique on Windows XP SP3 and Vista SP1 on 32-bit machines.

Huger expects that attacks using argument-switch will target 32-bit Windows XP machines, both because that operating system continues to dominate the Windows ecosystem, and because it lacks the PatchGuard kernel protection that Microsoft added to 64-bit versions of XP in 2005, then later to 64-bit editions of Vista and Windows 7.

"They may not be exclusive to Windows XP, but they'll be more prevalent under XP," Huger said.


Izvor: http://www.computerworld.com/s/article/9176511/New.....geNumber=2

Slabost nije ekskluzivno vezana samo za XP, pogođeni su svi sistemi koji nemaju kernel zaštitu PatchGuard (postoji samo za 64 bitne sisteme), što znači Vista je takođe ugrožena. 64 bitne verzije nisu toliko ugrožene zbog već postojeće zaštite kernela, mada tvrde da je i kod njih moguće izvršiti napad u slučaju isključivanja PatchGuard-a. Nisu spomenuli da li je i u kojoj meri napad moguć i na Win 7.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ko li je pisao taj članak?


Metoda o kojoj se priča (PoC iste), se svodi na iskorišćavanje/premošćavanje zakački (hooks) koje koriste driveri AV programa za nadgledanje sistema.

U suštini, priča funkcioniše tako da se driveru pošalje (podmetne) legitiman kod, a zatim se, kada isti prođe kontrolu antivirusa, zameni malicioznim kodom.

Ova tehnika podrazumeva vrlo precizan tajming (do zamene koda ne sme doći ni prerano ni prekasno) i praktično je ograničena ma manji kod koji treba da bude izvršen od strane programa koji već ima privilegije za izvršavanje na lokalnom kompjuteru (tehnika nije pogodna za ultra brze, stealth napade ili shellcode-based napade).

Ovime su pogođeni svi pogrami koji koriste hookove za rad, a to praktično znači; svi antivirusi.

Ova tehnika je primenjiva čak i na korisničkim nalozima za ograničenim privilegijama i radi na svim verzijama Windowsa.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

znaci od tog virsusa fakticki nema odbrane?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nije to virus, već tehnika (ideja) kojom bi se mogao zaobići zaštitni softver.

U svakom slučaju, stvari nisu baš tako crne kao što se čine. Kao što rekoh, postoje praktična ograničenja i iskoristiti nešto ovakvo za zaobilaženje AV-a nije jednostavno.