Nuova tecnica malware sconfigge quasi tutti gli antivirus
I ricercatori di Matousec.com sembrano aver scoperto una tecnica, la quale quasi nessun antivirus riesce a contrastare.
Sono riusciti a mettere fuori uso le difese di antivirus molto noti, come McAfee, Trend Micro, Avg, F-Secure, Shophos, e Bitdefender. Una tecnica silenziosa, rapida e furtiva, che passa silenziosa sotto gli occhi dell’antivirus.
Questo metodo sfrutta il driver che lega l’antivirus al sistema operativo. In questo modo, si invia un sample di codice benigno all’antivirus il quale non viene ovviamente rilevato come nocivo. A questo punto però, in una finestra ridotta, il codice viene sostituito con uno “maligno”, il quale potrà operare senza sospetti da parte dell’antivirus.
Questa in breve la tecnica adottata e che molti antivirus non sono riusciti a fermare.
Una tecnica che si basa molto sulla velocità
I tempi sono importanti, bisogna essere veloci per non esser intercettati. Per questo risulta più efficace usare questo metodo sui sistemi multi-core nei quali solitamente uno dei thread è incapace di tenere traccia degli altri thread che funzionano simultaneamente.
Tuttavia non è così semplice come sembrerebbe, in quanto occore anche che l’antivirus uso SSDT ovvero possa modificare parti nel Kernel OS.
Inoltre i tempi ridotti per eseguire l’attacco complicano nuovamente le cose, in quanto il codice maligno da caricare è piuttosto massiccio e quindi rende impraticabile attacchi shellcode.
Infine altra complicazione sta nel fatto che tale tecnica può essere portata a termine solo se un attacker è già in grado di far funzionare codice binario sul pc della vittima.
Quanti antivirus hanno fallito
Tirando le somme sono stati 34 gli antivirus a non essersi accorti di tale minaccia furtiva, considerando comunque che certamente non sono stati testati tutti gli antivirus in commercio.
Si ipotizza infine che questa tecnica possa essere associata ad un attacco exploit di un altro software così da installare malware nel pc preso di mira senza che l’antivirus se ne accorga.
Articoli correlati:
[...] Abbiamo parlato qualche giorno fa di un attacco scoperto da Matousec, o meglio una tecnica, la quale riuscirebbe a penetrare qualsiasi sistema e superare la difesa di qualsiasi antivirus. [...]