یک ترفند هوشمندانه نرم افزار آنتی ویروس را به بلاهایی غیرقابل توقف پاک کردن داده ها تبدیل می کند


چرا مهم است: برنامه های آنتی ویروس و ضد بدافزار معمولاً قابل اعتمادترین نوع نرم افزار نصب شده بر روی رایانه شخصی هستند. یک محقق امنیتی با بهره‌برداری از این وضعیت شناخته شده، ابزاری برای پاک کردن داده‌ها ایجاد کرد که به طور بالقوه قادر به پاک کردن تمام داده‌های موجود در یک سیستم است.

یا Yair، محقق امنیتی در SafeBreach، چندین آسیب‌پذیری روز صفر را کشف کرد که می‌تواند ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) و آنتی‌ویروس (AV) را به «برف پاک‌کن‌های نسل بعدی» تبدیل کند، یک تهدید جدید بالقوه که صدها میلیون سیستم نقطه پایانی را تحت تأثیر قرار می‌دهد. (از جمله رایانه های شخصی مصرف کننده) در سراسر جهان.

پاک کن یک بدافزار مخرب است که برای پاک کردن یا خراب کردن فایل‌ها در یک سیستم آسیب‌دیده طراحی شده است، تا جایی که تلاشی برای بازیابی فایل‌های مذکور بی‌معنی می‌کند. برف پاک کن ها برای انجام کارهای کثیف خود باید به یک سیستم فایل دسترسی کامل داشته باشند، همان نوع دسترسی که به طور تصادفی توسط برنامه های آنتی ویروس و EDR برای مقابله سریع در برابر یک تهدید تازه شناسایی شده مورد نیاز است.

همانطور که Yair توضیح داد، “هنگامی که EDR یک فایل مخرب را حذف می کند، دو رویداد اصلی وجود دارد”: اول، نرم افزار حفاظتی یک فایل را به عنوان مخرب شناسایی می کند و سپس فایل را حذف می کند. هدف Yair این بود که سعی کند کاری را بین این دو رویداد انجام دهد، با استفاده از یک نقطه اتصال (نوعی پیوند نمادین در سیستم فایل NTFS) تا ابزار EDR را به سمت مسیری متفاوت هدایت کند.

این محقق با استفاده از یک برنامه از نوع Mimikatz که به عنوان تقلید جعلی از آن مخفی شده بود، آسیب‌پذیری‌های به اصطلاح زمان بررسی تا زمان استفاده (TOCTOU) را دنبال کرد. ndis.sys درایور شبکه ویندوز اولین تلاش برای تغییر مسیر پیوند اصلی ndis.sys (C:\Windows\system32\drivers\ndis.sys) به پیوند جعلی ناموفق بود، زیرا برخی از برنامه‌های EDR از دسترسی بیشتر به برنامه Mimikatz پس از شناسایی آن به عنوان یک تهدید جلوگیری کردند.

Yair تکنیک خود را بیشتر توسعه داد و فایل مخرب را باز نگه داشت و آنتی ویروس را مجبور کرد که برای حذف آن درخواست راه اندازی مجدد کند. این افتتاحیه‌ای بود که محقق منتظر آن بود: با دستکاری رجیستری و راه‌اندازی مجدد، پاک‌کن جدید Aikido – که توسط سازنده آن نامگذاری شده است – می‌تواند کل فهرست‌ها یا حتی ریشه دیسک سیستم (C:\) را بدون نیاز به حذف کند. دارای امتیازات مدیریتی

یایر برف پاک کن آیکیدو خود را با 11 راه حل امنیتی آزمایش کرد و متوجه شد که 50 درصد از آنها در برابر تکنیک جدید آسیب پذیر هستند. آنتی ویروس آسیب پذیر شامل Microsoft Defender، Defender for Endpoint، SentinelOne EDR، TrendMicro Apex One، Avast Antivirus و AVG Antivirus بود، در حالی که راه حل های دیگر (Palo Alto، Cylance، CrowdStrike، McAfee، و BitDefender و غیره) قابل بهره برداری نبودند.

محقق ایراداتی را که در ماه‌های گذشته کشف کرده بود به همه فروشندگان مرتبط گزارش کرد و شرکت‌ها با انتشار راه‌حل‌های آسیب‌پذیر EDR پاسخ دادند.



منبع