ItHardware.pl
Досі існують доволі прості вразливості, які дозволяють шкідливому ПЗ обходити практично всі наявні антивіруси. Однією з таких залишається нещодавно виявлена так звана “Зомбі-ZIP”.
Перша частина ZIP-файлу — заголовок інформує про вміст й спосіб стиснення. Антивірусні системи зазвичай використовують ці метадані для визначення способу попередньої обробки файлів перед скануванням. Якщо створити ZIP-архів, який стверджуватиме, що вміст не стиснений, однак насправді міститиме стиснені дані, більшість антивірусів не звернуть на це уваги.
У разі зміни зловмисником методу стиснення антивірусне ПЗ може не зуміти розпакувати файл, а не стиснені дані виглядатимуть просто як випадкові байти, що не відповідають відомим сигнатурам шкідливого ПЗ. Архівний файл не можна буде розпакувати за допомогою 7-Zip або WinRAR, оскільки він технічно пошкоджений. Після обходу антивірусного захисту шкідливе ПЗ можна витягти за допомогою спеціального завантажувача, який ігнорує поле Method і замість цього безпосередньо розпаковує вбудовані дані. Це дозволяє зловмиснику приховати шкідливий вміст від антивірусних програм, при цьому зберігаючи можливість його програмного відновлення.
Наразі, через майже тиждень після виявлення цієї вразливості, 60 з 63 антивірусів не виявляють її. Тобто вона дає змогу інтегрувати шкідливе ПЗ у 95% випадків. Дослідник, який виявив вразливість, оприлюднив прототип на мові Python. Для його реалізації необхідно буквально кілька рядків коду. Це може виглядати тривожно для звичайних користувачів, однак перетворитись на справжній кошмар для великих корпорацій з тисячами клієнтів та конфіденційними даними, які необхідно захищати.
Антивіруси переважно не націлені на перевірку скриптів під час завантаження, оскільки кількість помилкових спрацювань була б величезною. Завантаження заархівованих даних одна з найпоширеніших операцій у більшості програм, особливо в іграх. Наразі питанням вразливості “Зомбі-ZIP” вже займаються в CERT. Там оприлюднили повідомлення про VU#976247. Вразливості присвоєний ідентифікатор CVE-2004-0935. Поки безпекові пакети ПЗ не оновляться, системним адміністраторам необхідно бути особливо пильними щодо ZIP-файлів, які передаються у мережах.
Раніше ми писали, що Ledger виявила вразливість в Android, яка дозволяє викрасти seed-фразу криптогаманця за секунди. Минулого року хакери заразили тисячі роутерів TP-Link ботнетом Ballista.
Джерело: Tom’sHardware; CERT
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.