بیایید تقریباً هر برنامه ضد ویروس IT Borns را به چالش بکشید

[English] محققان امنیتی آزمایشگاه های Rack911 روشی را توصیف می کنند که می تواند برای تضعیف و غیرفعال کردن تقریبا هرگونه نرم افزار آنتی ویروس در ویندوز یا macOS استفاده شود.

نرم افزار آنتی ویروس برای محافظت در برابر تهدیدات مخرب طراحی شده است. اما اگر این محافظت قبل از تهدید حتی توسط نرم افزار ضد ویروس خنثی شود ، می تواند غیرفعال شود؟ اگر این محافظت برای انجام برخی از پرونده های سازنده سیستم عامل به خطر بیفتد یا به سادگی آن را توسط مهاجمی غیر قابل استفاده کند ، دستکاری می شود؟

اعتراف می کنم ، مقاله من SCEP / MSE / به طور خودجوش رفت مدافع: شکست جهانی محافظت از آنتی ویروس مایکروسافت با امضای 1.313.1638.0 (16 آوریل 2020) در ذهن من ، وقتی چند ساعت پیش توییت زیر را پیدا کردم.

استفاده از (تقریبا) هر نرم افزار ضد ویروس – آزمایشگاه های RACK911 https: // t. Co / N84DjNTjED

– F. Javier Santiago (@ n0ipr0cs) 20 April April

محققان امنیتی در آزمایشگاه های RACK911 تکنیک های موجود در این مقاله را توصیف کنید که می توانید از آنها برای تضعیف و غیرفعال کردن تقریبا هرگونه نرم افزار آنتی ویروس در ویندوز یا macOS استفاده کنید

اگر یک پرونده ناشناخته در دیسک سخت شما ذخیره شود ، نرم افزار آنتی ویروس معمولاً "بلافاصله" یا در عرض چند دقیقه اسکن زمان. اگر پرونده ناشناخته یک تهدید مشکوک باشد ، به طور خودکار قرنطینه می شود و به یک مکان امن منتقل می شود یا به سادگی حذف می شود.

اسکنر ویروس با بالاترین امتیازات برای انجام اسکن کار می کند. این امر امکان حمله به تعداد زیادی از آسیب پذیری های امنیتی و استفاده از شرایط مختلف مسابقه را باز می کند.

اکثر برنامه های آنتی ویروس کوتاه مدت بین اولین اسکن پرونده که در آن یک پرونده مخرب شناسایی شده است ، و عملیات تمیز کردن که بلافاصله پس از آن انجام می شود ، در نظر نمی گیرند. یک کاربر مخرب محلی یا نویسنده مخرب غالباً قادر است مسابقه را در یک کراس دایرکتوری (ویندوز) یا یک پیوند نمادین (لینوکس و MacOS) اجرا کند. این ممکن است از عملیات فایل ممتاز برای غیرفعال کردن نرم افزار آنتی ویروس یا مختل کردن سیستم عامل ، استفاده از آن بی فایده و غیره استفاده کند.

در حین آزمایش بر روی ویندوز ، MacOS و لینوکس ، محققان امنیتی توانستند فایلهای مهم ایجاد شده توسط نرم افزار آنتی ویروس را پیدا کنند. استفاده می شود ، آن را بی اثر می کند و بدون هیچ مشکلی آن را حذف می کند. حتی می توان پرونده های مهم سیستم عامل را حذف کرد. ویندوز فقط می تواند پرونده هایی را که استفاده نمی شود حذف کند. اما برخی از نرم افزارهای ضد ویروس ممکن است دفعه بعد که سیستم را شروع می کنید چنین فایلهایی را حذف کنید.

محققان امنیتی اثبات مفهوم را در این مقاله نشان می دهند. حمله در فیلم نشان داده شده است. محققان امنیتی محصولات زیر را تحت ویندوز آزمایش کردند:

آنتی ویروس رایگان Avast
ضد ویروس رایگان Avira
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Protection Computer
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes برای ویندوز
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere

و آنها را با موفقیت غیرفعال کرد. تقریباً همه چیزهایی که در کامپیوترهای ویندوز در سالن های آلمان دیوانه می شوند وجود دارد.