Thursday, May 13, 2010

novo método para burlar a proteção dos softwares antivírus

Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.



A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.

De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* - foi bem sucedido em 100% dos produtos testados.

A equipe da Matousec informou que o ataque pode ser efetivo quando executado em uma conta sem privilégios administrativos e ele afeta todas as versões do Windows (32 e 64 bits). O único fator limitante é a complexidade da técnica, que requer que uma grande quantidade de código esteja presente no sistema, o que torna difícil seu uso em ataques do tipo drive-by download (um ataque de drive-by download explora brechas ou erros de design em softwares para fazer com que um programa malicioso seja baixado e executado sem que o usuário perceba o que aconteceu).

Como prova de conceito, os pesquisadores da Matousec criaram um mecanismo para o desenvolvimento de exploits chamado Kernel HOok Bypassing Engine (ou KHOBE).

Maiores informações na página da Matousec: http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php

No comments:

Post a Comment