Найден способ использовать антивирусы как оружие

Безопасность
мобильная версия
, Текст: Валерия Шмырова

Немецкие ученые выяснили, что антивирус удаляет совершенно безвредные файлы, если эти файлы предварительно маркированы сигнатурой, которая есть в библиотеке антивируса. Исследователи предложили собственный способ извлекать необходимые сигнатуры из библиотеки. Они добились того, что ClamAV и коммерческие антивирусы начали удалять письма и cookie, в которые была встроена копия сигнатуры.


Антивирус как оружие

Немецкие ученые придумали способ, позволяющий использовать антивирусное ПО для совершения кибератак. Исследователи добились того, что сканирующий инструмент антивируса распознает обычные файлы как вредоносные и удаляет их, или же помещает в карантин. Над проектом работали сотрудники Брауншвейгского технического университета и Геттингенского университета.

Когда антивирусное ПО сканирует файлы, оно ищет в них фрагменты вредоносного кода. С этой целью код файла сличается с библиотекой сигнатур, которой располагает конкретный антивирус. Если в коде файла обнаруживаются совпадения с сигнатурами из библиотеки, он признается опасным и удаляется, либо помещается в карантин.

По словам исследователей, преступник может извлечь образцы кода из библиотеки антивируса, для того чтобы добавить такой фрагмент к совершенно безвредному файлу. В результате этот файл будет идентифицирован как вредоносный в ходе сканирования, с последующим удалением или помещением в карантин. Ученые смогли извлечь сигнатуры из библиотек пяти антивирусов, в том числе ClamAV, имеющего открытый исходный код. Названия еще четырех коммерческих антивирусов, задействованных в исследовании, авторы проекта не раскрывают.

Использование сигнатуры для маркировки файла позволило удалить с помощью этих антивирусов журналы приложений, что позволило замаскировать процесс подбора пароля. Также обманутые антивирусы были использованы для удаления писем электронной почты и файлов cookie.

Извлечение сигнатур

В ходе исследования авторы проекта предложили собственный способ извлечения сигнатур из библиотеки антивируса. Обычно это делается с помощью обратного проектирования и дампинга базы данных. Однако этот метод требует продолжительной «ручной» работы, которую нужно повторять для каждого конкретного антивируса.

Хакеры могут использовать антивирус как инструмент для удаления безвредных файлов

Вместо этого исследователи создали ряд образцов кода, которые базировались на коде заведомо вредоносного ПО. Просканировав эти модификации, ученые увидели, какие из них антивирус воспринимает как опасные. Путем сканирования и сравнения различных образцов, авторы проекта вычислили байты, на которые реагирует антивирус. В результате склеивания таких байтов и были получены сигнатуры. Таким образом, ученым удалось получить 9969 фрагментов кода, которые распознавались как вредоносные всеми пятью антивирусами, задействованными в исследовании. В целом было охвачено около 250 семейств вредоносного ПО.

У предложенного метода есть свои ограничения. Например, один и тот же файл может содержать несколько сигнатур вредоносного ПО, которые есть в библиотеке антивируса. Если одна из них будет модифицирована таким образом, что сканер перестанет на ней срабатывать, то файл все равно будет классифицироваться как вредоносный, поскольку сработает другая сигнатура. В этом случае результаты сканирования модификаций могут быть ошибочными.