Δευτέρα 17 Μαΐου 2010

Nέος τύπος επίθεσης παρακάμπτει σχεδόν όλα τα antivirus!



Ερευνητές της matousec.com ισχυρίζονται ότι έχουν αναπτύξει μια νέα μέθοδο, η οποία μπορεί να εγκαταστήσεικακόβουλο κώδικα σε οποιονδήποτε υπολογιστή, δίχως το εκάστοτε πρόγραμμα ασφαλείας να είναι σε θέση να αποτρέψει την επίθεση. Σύμφωνα με τους εμπνευστές της νέας μεθόδου, οι πιθανότητες επιτυχούς εκτέλεσης αυξάνονται σε μηχανήματα που βασίζονται σεπολυπύρηνους επεξεργαστές.

Η επίθεση λειτουργεί ως εξής. Ο επιτιθέμενος στέλνει ένα κομμάτι κώδικα, ο οποίος περνά με επιτυχία τον έλεγχο του antivirus και χαρακτηρίζεται ασφαλής. Στη συνέχεια, και πριν προλάβει να εκτελεστεί, ο καλόβουλος κώδικας αντικαθίσταται την κατάλληλη στιγμή από κακόβουλο, ο οποίος καταφέρνει να μπει στο σύστημα χωρίς να γίνει αντιληπτός από το
antivirus. Στους πολυπύρηνους επεξεργαστές, το εκάστοτε thread έχει συνήθως άγνοια για τα άλλα threads που εκτελούνται ταυτόχρονα.

Η νέα μέθοδος φέρεται να έχει ξεγελάσει μέχρι τώρα 34 προγράμματα antivirus, μεταξύ άλλων τα Avast, AVG, BitDefender, Kaspersky, McAfee, Norton, Sophos και ZoneAlarm.
Θα πρέπει, πάντως, να σημειωθεί ότι η μέθοδος αυτή, αν και απλή στη σύλληψη, είναι πολύ δύσκολο να εκτελεστεί. Κατ' αρχάς, η αλλαγή του κώδικα πρέπει να γίνει σε πολύ συγκεκριμένη στιγμή, ούτε νωρίς ούτε αργά. Επίσης, απαιτείται η μεταφορά μεγάλου όγκου κώδικα, κάτι που σημαίνει ότι δεν ενδείκνυται για shellcode-based attacks.

Δεν υπάρχουν σχόλια: