مطالب مطالب

حمله هوشمندانه «DoubleAgent»، آنتی ویروس را به بدافزار تبدیل می کند.

 

ممکن است نرم افزارهای آنتی ویروس، باعث آزار و اذیت شوند. می توانند سرعت کامپیوتر را کم کنند یا هشدارهای زیادی نشان دهند که مشخص نیست چه زمانی اتفاقی رخ داده است. ولی محققان جنبه منفی آن را شناسایی کرده اند: ابزار عیب یابی که در بسیاری از نسخه های مایکروسافت ویندوز یافت شده، برای دستیابی به برنامه های آنتی ویروس آسیب پذیر و مجهز کردن آنها قابل استفاده است.
محققان شرکت دفاع امنیت سایبری Cybellum، حمله ای به نام «DoubleAgent» شناسایی کردند که از Microsoft Application Verifier (ابزاری برای تقویت امنیت در برنامه های ثالث ویندوز) به منظور تزریق کد سفارشی در برنامه ها استفاده می کند. این روش به احتمال زیاد می تواند هر برنامه ای را دستکاری کند، ولی برنامه های آنتی ویروس به شدت مورد توجه مهاجمان هستند، به دلیل اینکه دارای امتیازات گسترده سیستمی برای اسکن می باشند.
«اسلاوا برانفمن » مدیر Cybellum می گوید: «آنتی ویروس برای محافظت نصب می شود، ولی در واقع یک روش جدید حمله به کامپیوتر ایجاد می گردد. هکرها معمولاً تلاش می کنند از آنتی ویروس فرار کنند و از آن پنهان شوند، ولی اکنون به جای فرار، می توانند مستقیماً به آنتی ویروس حمله کنند. زمانی که کنترل آنتی ویروس را به دست گرفتند، دیگر نیازی به حذف آن نیست، می توانند به آرامی آن را در حالت اجرا نگه دارند.»
با آشکار شدن حمله، آنتی ویروس به کد مخرب اجازه می دهد پایدار شود، به دلیل اینکه از طریق ابزار معتبر Application Verifier وارد شده است. محققان عنوان کرده اند که حتی معیارهایی مانند راه اندازی مجدد سیستم نیز حمله DoubleAgent را حذف نمی کند. زمانی که هکرها کنترل برنامه آنتی ویروس را به دست می گیرند، می توانند آن را برای اجرای هر نوع حمله ای (از نظارت غیرفعال تا رمزگذاری و باجگیری اطلاعات) و به سبب اطمینان ذاتی سیستم عامل ها به آنتی ویروس ها، دستکاری کنند.
«مایکل انگستلر » رئیس ارشد فناوری Cybellum می گوید: «زمانی که این حمله کشف شد، متخصصان تلاش کردند درک کنند که چه تأثیری و چه محدودیت هایی دارد و مشخص شد که هیچ محدودیتی ندارد. می توان از آن برای تزریق هر فرآیندی استفاده کرد، بنابراین مشخص شد که یک مشکل بسیار جدی در اینجا وجود دارد.»
محققان به سازندگان 14 برنامه آنتی ویروس آسیب پذیر اطلاع رسانی کردند (Avast، AVG، Avira، Bitdefender، Trend Micro، Comodo، ESET، F-Secure، Kaspersky، Malwarebytes، McAfee، Panda، Quick Heal و Norton) و عنوان کردند که قبل از انتشار عمومی این حفره، 90 روز صبر می کنند. تاکنون فقط Malwarebytes، AVG و Trend Micro وصله ای را منتشر کرده اند و شواهد خاصی وجود ندارد که از این آسیب پذیری سوءاستفاده شده، ولی دانستن قطعی آن غیرممکن است، مخصوصاً به دلیل اینکه از زمان ویندوز XP، Application Verifier در ویندوز وجود دارد.
«انگستلر» می گوید: «به نظر نمی رسد که سخت در تلاش برای حل مشکل هستند. می توان مطمئن شد که با تبلیغات، انجام امور سریع تر می شود و این مسئله یکی از دلایل انتشار این حفره است، ولی تاکنون روند حل مشکل از چیزی که تصور می شد، کمی آهسته تر است.»
این آسیب پذیری خطرناک است، ولی صحبت از مسائل بزرگتر درباره نقش آنتی ویروس و ناامنی ضمنی است که می تواند به یک سیستم معرفی کند.
«محمد منان » محقق امنیتی در دانشگاه کلیفرنیا در مونترال (که درباره آسیب پذیری های آنتی ویروس تحقیق کرده) می گوید: «شخصاً استفاده از آنتی ویروس را متوقف کرده و به خاطر ندارد که چه زمانی روی کامپیوترش نصب نبوده است. تمام برنامه ها حفره هایی دارند، ولی اگر مسئله ای در خصوص محصولات آنتی ویروس رخ دهد، عواقب آن مانند این مورد (DoubleAgent) می تواند چشمگیر باشد. محصولات آنتی ویروس به طور کلی با امتیازات زیادی در سیستم اجرا می شوند، بنابراین اگر به خطر بیفتند، اساساً دسترسی کامل در اختیار مهاجم قرار خواهد گرفت.»
مایکروسافت سه سال قبل، یک معماری امنیتی به نام «Protected Processes» برای آنتی ویروس منتشر کرد که به طور موفقیت آمیز از کابران در مقابل DoubleAgent محافظت می کند. محققان، فقط یک برنامه آنتی ویروس یافتند که Protected Processes را پیاده سازی کرده بود.
بروزسانی 23 مارچ 2017: چهار مورد از فروشندگان آنتی ویروس های ذکر شده در خصوص DoubleAgent با وب سایت WIRED تماس حاصل کردند. Kaspersky و Avast این حفره را وصله کردند. Comodo گفته که تنظیمات پیش فرض آنتی ویروس حمله را خنثی کرده است. Symantec گفته که محصولات Norton Security آن آسیب پذیر نبوده، ولی عنوان کرده که اقدامات تشخیص و مسدودسازی اضافی را در زمان حمله به کاربران، توسعه و گسترش داده است.

مرجع
https://www.wired.com/2017/03/clever-doubleagent-attack-turns-antivirus-malware/

 

تصاویر مرتبط
تاریخ انتشار مطلب: 11 اردیبهشت 1396
بازدید ها: 135