17.02.2016, 21:47
Jako, że pojawiam się tu ostatnio coraz rzadziej, chciałbym to jakoś zrekompensować. Postanowiłem napisać więc ten artykuł, być może wniesie on coś ciekawego, a może nie. Niemniej, zacznijmy.
Na początku proszę jednak na odpowiedź w ankiecie - czy korzystasz z antywirusa czy nie? Pytam o to z czystej ciekawości
Antywirus, jak sama nazwa wskazuje, ma chronić nasz komputer przed działaniem szkodliwego oprogramowania. Ma nie pozwalać, by wirusy, robaki, spyware, rootkity etc. etc. panoszyły się po naszym komputerze, wykradały prywatne dane, szyfrowały je lub niszczyły. Jak jednak powszechnie wiadomo żaden antywirus nie ma pełnej skuteczności. Zawsze znajdzie się jakiś 0day, którego nasz strażnik nie ma w bazach, albo jego osłona behawioralna nie uznaje za szkodliwego. Wtedy nasz system zostaje zainfekowany. Malware będzie wykorzystywał luki w oprogramowaniu, szukał możliwości wykorzystania błędów programisty, choćby zwykłego przepełnienia do wykonania kodu na jak najwyższym poziomie (Ring 0/1). Nowoczesne technologie używane w branży bezpieczeństwa komputerowego mają za zadanie jednak do tego nie dopuścić. Niezaufane programy są emulowane w sandboxach, często bardzo restrykcyjnych.
Ale każde oprogramowanie ma luki. Może to być system operacyjny, przeglądarka, wtyczka, jakiś firmware, ale też, o zgrozo, antywirus. Z punktu atakującego jest to genialny wariant - antywirus często uruchamia się w zasadzie przed systemem, działa w obrębie kernela, ma dostęp do najważniejszych części systemu operacyjnego. Więc czemu by właśnie jego nie wyexploitować? Takie rzeczy dzieją się bardzo często. Błędy znajdowane są stosunkowo często, nawet krytyczne. Najpopularniejszym sposobem na znajdywanie niedopatrzeń programisty w tak dużych programach jest fuzzing. Zwyczajna inżynieria wsteczna prowadzona za pomocą np. Idy zajęła by mnóstwo czasu. Tak można to nieco przyspieszyć.
Tu przedstawie wam przykład krytycznego błędu znalezionego w antywirusie Avast w 2010 roku (zdalne wykonywanie kodu (sic!)):
- CVE-2010-3126 - cytując z strony cvedetails:
Podobnych dziur jest wiele, chociażby w Kasperskym (
I teraz - jak się przed tym chronić? Dbać o aktualne oprogramowanie, korzystać z dodatkowych środków ochrony takich jak sandboxie, MBAE, EMET itd. Ale czy zrezygnować z korzystania z antywirusa?
Moja odpowiedź brzmi - nie wiem. To decyzja, którą powinno podjąć się samemu. Ataki takie, jako że łatane są naprawdę szybko, a programy bug bounty oferują naprawdę wysokie wynagrodzenia za przedstawienie takich a nie innych błędów, skierowane będą raczej w duże firmy, przedsiębiorstwa gdzie możliwość zarobku atakującego przewyższająca wypłaty z innych źródeł. Pozostają też miejsca takie jak sieć cebulowa (TOR), gdzie wirtualny czarny rynek kwitnie w najlepsze.
To by było na tyle z mojej strony, zapraszam do dyskusji
ŹRÓDŁA:
-
Na początku proszę jednak na odpowiedź w ankiecie - czy korzystasz z antywirusa czy nie? Pytam o to z czystej ciekawości
Antywirus, jak sama nazwa wskazuje, ma chronić nasz komputer przed działaniem szkodliwego oprogramowania. Ma nie pozwalać, by wirusy, robaki, spyware, rootkity etc. etc. panoszyły się po naszym komputerze, wykradały prywatne dane, szyfrowały je lub niszczyły. Jak jednak powszechnie wiadomo żaden antywirus nie ma pełnej skuteczności. Zawsze znajdzie się jakiś 0day, którego nasz strażnik nie ma w bazach, albo jego osłona behawioralna nie uznaje za szkodliwego. Wtedy nasz system zostaje zainfekowany. Malware będzie wykorzystywał luki w oprogramowaniu, szukał możliwości wykorzystania błędów programisty, choćby zwykłego przepełnienia do wykonania kodu na jak najwyższym poziomie (Ring 0/1). Nowoczesne technologie używane w branży bezpieczeństwa komputerowego mają za zadanie jednak do tego nie dopuścić. Niezaufane programy są emulowane w sandboxach, często bardzo restrykcyjnych.
Ale każde oprogramowanie ma luki. Może to być system operacyjny, przeglądarka, wtyczka, jakiś firmware, ale też, o zgrozo, antywirus. Z punktu atakującego jest to genialny wariant - antywirus często uruchamia się w zasadzie przed systemem, działa w obrębie kernela, ma dostęp do najważniejszych części systemu operacyjnego. Więc czemu by właśnie jego nie wyexploitować? Takie rzeczy dzieją się bardzo często. Błędy znajdowane są stosunkowo często, nawet krytyczne. Najpopularniejszym sposobem na znajdywanie niedopatrzeń programisty w tak dużych programach jest fuzzing. Zwyczajna inżynieria wsteczna prowadzona za pomocą np. Idy zajęła by mnóstwo czasu. Tak można to nieco przyspieszyć.
Tu przedstawie wam przykład krytycznego błędu znalezionego w antywirusie Avast w 2010 roku (zdalne wykonywanie kodu (sic!)):
- CVE-2010-3126 - cytując z strony cvedetails:
Cytat:Untrusted search path vulnerability in avast! Free Antivirus version 5.0.594 and earlier allows local users, and possibly remote attackers, to execute arbitrary code and conduct DLL hijacking attacks via a Trojan horse mfc90loc.dll that is located in the same folder as an avast license (.avastlic) file.
(tłumaczenie)
Luka w niezaufanej ścieżce wyszukiwania w oprogramowaniu avast! Free Antivirus wersja 5.0.594 (i wcześniejszych) pozwala lokalnym użytkownikom lub atakującym zdalnie wykonać kod czy wykonać atak typu DLL hijacking za pomocą konia trojańskiego mfc90loc.dll który znajduje się w tym samym folderze co plik licencyjny avasta (.avastlic).
Podobnych dziur jest wiele, chociażby w Kasperskym (
[Aby zobaczyć linki, zarejestruj się tutaj]
), Bitdefenderze ([Aby zobaczyć linki, zarejestruj się tutaj]
), Nortonie ([Aby zobaczyć linki, zarejestruj się tutaj]
)...I teraz - jak się przed tym chronić? Dbać o aktualne oprogramowanie, korzystać z dodatkowych środków ochrony takich jak sandboxie, MBAE, EMET itd. Ale czy zrezygnować z korzystania z antywirusa?
Moja odpowiedź brzmi - nie wiem. To decyzja, którą powinno podjąć się samemu. Ataki takie, jako że łatane są naprawdę szybko, a programy bug bounty oferują naprawdę wysokie wynagrodzenia za przedstawienie takich a nie innych błędów, skierowane będą raczej w duże firmy, przedsiębiorstwa gdzie możliwość zarobku atakującego przewyższająca wypłaty z innych źródeł. Pozostają też miejsca takie jak sieć cebulowa (TOR), gdzie wirtualny czarny rynek kwitnie w najlepsze.
To by było na tyle z mojej strony, zapraszam do dyskusji
ŹRÓDŁA:
-
[Aby zobaczyć linki, zarejestruj się tutaj]
0x DEADBEEF