Articoli e news    Prezzi
Tom's Hardware Business Sicurezza

Antivirus tutti a rischio, la trappola è geniale

13:47 - 10 maggio 2010 di Manolo De Agostini

I ricercatori di sicurezza di matousec.com sviluppano una tecnica che permette di rendere innocue le difese messe in campo dagli antivirus con i codici maligni. Nessun antivirus, o quasi, è al sicuro.

Un nuovo metodo, sviluppato dai ricercatori di sicurezza di matousec.com, mette fuori gioco le difese di dozzine di prodotti antivirus come McAfee, Trend Micro, AVG e BitDefender. Secondo i ricercatori, riporta The Register, è possibile superare i programmi antivirus sfruttando il driver che li lega profondamente al sistema operativo. Il metodo funziona inviando all'antivirus un sample di codice benigno che supera i controlli di sicurezza. In seguito, in una finestra ridotta di tempo, questo codice viene rimpiazzato con uno di tipo maligno in grado di funzionare senza destare sospetti.

Nell'attacco, come detto, ha un peso la tempistica. Nei sistemi multi-core, dato che spesso uno dei thread è incapace di tenere traccia degli altri thread che funzionano simultaneamente, il metodo dovrebbe essere efficace.

Tutto questo sistema richiede che il software antivirus usi SSDT (System Service Descriptor Table), collegato per modificare parti di kernel OS. Durante i test i software vulnerabili sono stati 34, ma probabilmente solo perché le prove non hanno coinvolto più prodotti. Gli antivirus "aggirabili", insomma, potrebbero essere di più. La tecnica funziona anche quando si usa Windows con un account con privilegi limitati.

L'exploit, tuttavia, ha dei limiti: bisogna caricare sul sistema che si vuole colpire un grande quantitativo di codice. Questa situazione rende impraticabile attacchi shellcode o che devono essere veloci e furtivi. Inoltre, può essere eseguito solo quando un attacker è già in grado di far funzionare codice binario sul PC - obiettivo.

I ricercatori affermano che questa tecnica potrebbe essere combinata con un exploit di un altro software, una versione vulnerabile di Adobe Reader o Java Virtual Machine di Oracle, per installare malware senza destare il sospetto degli antivirus. Come prova è stato realizzato un motore per lo sviluppo di exploit chiamato KHOBE, o Kernel HOok Bypassing Engine, che i ricercatori hanno usato per il loro test interno.

Condividi:   
Microsoft svela il telefono che traduce le chiacchiere
  • Ultime news

Suggerimenti dalla rete

Commenti

Aggiungi un tuo commento
1/4 avanti    
fpg_87 10/05/2010 14:14
 
 
l'avevo letto la settimana scorsa... geniale davvero... penso ke nessun antivirus sia immune, visto ke nessuno ricontrolla un processo benigno...
l'unica soluzione ritengo sia un controllo continuo su ogni processo... o almeno un controllo random... e la cosa si fà seria...
GiovanniT 10/05/2010 14:21
 
 

 Originariamente inviata da fpg_87

l'avevo letto la settimana scorsa... geniale davvero... penso ke nessun antivirus sia immune, visto ke nessuno ricontrolla un processo benigno...
l'unica soluzione ritengo sia un controllo continuo su ogni processo... o almeno un controllo random... e la cosa si fà seria...



Più che altro il problema sembra essere più radicato del semplice "aggiorniamo gli antivirus e/o il loro modo di approciarsi alla difesa del pc" ma sembra una vulnerabilità a livello di come è pensata la gestione dei thread in windows.
cigga33 10/05/2010 14:23
 
 
Il fatto che non hanno citato Avira e Kaspersky indica che non ne sono affetti?
Tsaeb 10/05/2010 14:27
 
 
bel casino, non credo sia pratico controllare più volte lo stesso thread, l'antivirus diventerebbe un mattone per qualunque PC.
buothz 10/05/2010 14:29
 
 
diciamocela tutta, si prende un virus cazzuto e? L'antivirus se ne va a quel paese, ma da sempre, alla faccia di tutti i malati che spendono 50€ per comprare suite che non servono a niente! Ci vuole educazione e intelligenza, la maggiorparte dei virus nascono dal cervello dell'utente che risponde allo scam, oppure quello che apre il file scaricato da un sito incerto o dal p2p e non ci fa la scansione (in questo caso l'av è utile).
Finché l'utonto ha le prestazioni di un 486dx2 perché ha la protezione residente, non riesce a navigare in internet per tutte le protezioni che ha scusatemi ma se si infetta ci godo assai xkè l'antivirus è il cancro per un calcolatore!
waterwall 10/05/2010 14:32
 
 

 Originariamente inviata da cigga33

Il fatto che non hanno citato Avira e Kaspersky indica che non ne sono affetti?


In realtà tutti sono vurnerabili...l'unico modo per proteggersi sarebbe mettere il PC completamente off-line (http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php#table-of-vulnerable-software)
REZ 10/05/2010 14:32
 
 
...io ho Avast Home Ediction che uso da diversi anni ormai...di AV ne ho provati un bel pò (Avast, AVG, Norton, Kaspersky, Bit-Defender, NOD32, Avira) e devo dire che AVAST è il MIGLIORE AV GRATUITO!!! già dalla versione 4 era un gran bel AV....ma dalla versione 5 è in ASSOLUTO il Migliore...tra cui nelle opzioni avanzate cè la possibilità di scegliere se monitorare un file/processo 1 volta sola dalla Creazione/modifica/esecuzione oppure se controllare tutto quello che si muove...dalla 4 alla 5 cè un abisso in velocità, sicurezza e facilità di utilizzo...non a caso ha tutti questi Certificati di Affidabilità =) http://www.avast.com/it-it/awards-certifications
plokko 10/05/2010 14:33
 
 

 Originariamente inviata da GiovanniT

Più che altro il problema sembra essere più radicato del semplice "aggiorniamo gli antivirus e/o il loro modo di approciarsi alla difesa del pc" ma sembra una vulnerabilità a livello di come è pensata la gestione dei thread in windows.

no il problema di fondo è l'interfacciamento degli antivirus col sistema operativo;
comunque la soluzione finale e piu funzionante è aggiornare l'utente non l'antivirus,io in anni senza antivirus non ho preso neanche un virus o spyware e se le trovavo sapevo che erano virus e non le aprivo(non i soliti iloveyou ovviamente);un utonto riesce a infettarsi a raffica il pc con tutti gli antivirus,firewall e quello che volete!!!

Non pensate che un antivirus ne sia immune,tutti gli antivirus usano questa tecnica fino ad oggi(come i firewall ma in un'altro modo);questa è piu una critica alla tecnica con cui gli antivirus lavorano piuttosto che contro gli antivirus stessi ed è anche ovvio che un exploit cosi grosso sarebbe ben visibile a un esperto data la quantità di codice.
pabloski 10/05/2010 14:35
 
 

 Originariamente inviata da waterwall

In realtà tutti sono vurnerabili...l'unico modo per proteggersi sarebbe mettere il PC completamente off-line (http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php#table-of-vulnerable-software)



nah basta usare sistemi operativi seri
plokko 10/05/2010 14:38
 
 

 Originariamente inviata da pabloski

nah basta usare sistemi operativi seri

a priori nessun s.o. è sicuro;che sia per virus o exploit tutti i sistemi sono potenzialmente vulnerabili;ovvio che dire "basta metterlo offline" è un discorso senza senso visto che un sistema offline non ha senso di esistere(e comunque un limite fisico puo essere aggirato tramite "un'exploit fisico" aka un tizio che viene li con la chiavetta fisicamente,ma questo è un'altro livello di sicurezza)
1/4 avanti    
Accedi o  registrati.
Nome utente:
Password:
  • News suggerite
Segnala TomsHW

Correlazioni

  Categoria: Sicurezza

Correlati

Bluetooth a rischio, ma Microsoft ci mette una toppa
Fix provvisorio contro Duqu, Microsoft è in campo
Windows 7 vuole l'antivirus, altrimenti sono guai
Malware e GPU, la combinazione è esplosiva
Falla zero day nel kernel Windows, Duqu s'intrufola
Minacce informatiche: info su 5 Worm e un Too
Antivirus sui Mac, per ora sembra inutile
Windows vulnerabile: una falla? No, una voragine
Furti d'identità sul web? Google ha qualche consiglio
Bin Laden incubo degli internauti, truffe su PC e Mac

In evidenza

AMD Radeon HD 7950, attacco alla GTX 580 e CrossFire da paura
Guida: installare un SSD nel notebook al posto del lettore DVD
Guida: scegliere l'alimentatore adatto alle proprie esigenze
Intel Core i7 3930K, la scelta intelligente per gli appassionati
SSD più capienti con la compressione NTFS, come abilitarla e cosa aspettarsi

Business - Articoli più letti

Ubuntu 11.04 Natty Narwhal, la rivoluzione di Unity
iOS 5 con iCloud e notifiche, completa ma non innova
Gli Spammer alla conquista del pianeta Terra, storia e analisi del fenomeno
Confronto Browser per Mac OS X: Chrome 16, Firefox 9, IE9, Opera 11.60 e Safari 5.1.2
Domande e risposte sul Cloud, intervista con Google
gli articoli più letti