Malware Dapat Menggunakan Trik Ini untuk Melewati Pertahanan Ransomware di Solusi Antivirus

  • Whatsapp
Anti Virus

Para peneliti telah mengungkapkan kelemahan keamanan yang signifikan dalam aplikasi perangkat lunak populer yang dapat disalahgunakan untuk menonaktifkan perlindungan mereka dan mengendalikan aplikasi yang terdaftar untuk melakukan operasi jahat atas nama malware untuk mengalahkan pertahanan anti-ransomware.

Serangan kembar, terperinci oleh akademisi dari University of Luxembourg dan University of London, ditujukan untuk menghindari fitur folder terproteksi yang ditawarkan oleh program antivirus untuk mengenkripsi file (alias “Cut-and-Mouse”) dan menonaktifkan perlindungan real-time mereka dengan mensimulasikan “klik mouse” ” peristiwa (alias “Kontrol Hantu”).

Bacaan Lainnya

“Penyedia perangkat lunak antivirus selalu menawarkan keamanan tingkat tinggi, dan mereka merupakan elemen penting dalam perjuangan sehari-hari melawan penjahat,” berkata Prof. Gabriele Lenzini, kepala ilmuwan di Pusat Interdisipliner untuk Keamanan, Keandalan, dan Kepercayaan di Universitas Luksemburg. “Tapi mereka bersaing dengan penjahat yang sekarang memiliki lebih banyak sumber daya, kekuatan, dan dedikasi.”

auditor kata sandi

Dengan kata lain, kekurangan dalam perangkat lunak mitigasi malware tidak hanya mengizinkan kode yang tidak sah untuk mematikan fitur perlindungan mereka, kelemahan desain dalam solusi Folder Terlindungi yang disediakan oleh vendor antivirus dapat disalahgunakan oleh, katakanlah, ransomware untuk mengubah konten file menggunakan aplikasi yang disediakan menulis akses ke folder dan mengenkripsi data pengguna, atau wipeware untuk menghancurkan file pribadi korban secara permanen.

Folder yang Dilindungi mengizinkan pengguna untuk menentukan folder yang memerlukan lapisan perlindungan tambahan terhadap perangkat lunak yang merusak, sehingga berpotensi memblokir akses yang tidak aman ke folder yang dilindungi.

“Satu set kecil aplikasi yang masuk daftar putih diberikan hak istimewa untuk menulis ke folder yang dilindungi,” kata para peneliti. “Namun, aplikasi yang masuk daftar putih itu sendiri tidak terlindungi dari penyalahgunaan oleh aplikasi lain. Oleh karena itu, kepercayaan ini tidak dibenarkan, karena malware dapat melakukan operasi pada folder yang dilindungi dengan menggunakan aplikasi yang masuk daftar putih sebagai perantara.”

Anti Virus

Skenario serangan yang dirancang oleh para peneliti mengungkapkan bahwa kode berbahaya dapat digunakan untuk mengontrol aplikasi tepercaya seperti Notepad untuk melakukan operasi penulisan dan mengenkripsi file korban yang disimpan dalam folder yang dilindungi. Untuk tujuan ini, ransomware membaca file dalam folder, mengenkripsinya dalam memori, dan menyalinnya ke clipboard sistem, setelah itu ransomware meluncurkan Notepad untuk menimpa konten folder dengan data clipboard.

Lebih buruk lagi, dengan memanfaatkan Paint sebagai aplikasi tepercaya, para peneliti menemukan bahwa urutan serangan yang disebutkan di atas dapat digunakan untuk menimpa file pengguna dengan gambar yang dibuat secara acak untuk menghancurkannya secara permanen.

Serangan Ghost Control, di sisi lain, dapat memiliki konsekuensi seriusnya sendiri, seperti mematikan perlindungan malware waktu nyata dengan mensimulasikan tindakan pengguna yang sah yang dilakukan pada antarmuka pengguna dari solusi antivirus dapat mengizinkan musuh untuk menjatuhkan dan menjalankan program jahat apa pun. dari server jauh di bawah kendali mereka.

Dari 29 solusi antivirus yang dievaluasi selama penelitian, 14 di antaranya ditemukan rentan terhadap serangan Ghost Control, sementara 29 program antivirus yang diuji ditemukan berisiko terkena serangan Cut-and-Mouse. Para peneliti tidak menyebutkan nama vendor yang terpengaruh.

Anti Virus

Jika ada, temuan ini adalah pengingat bahwa solusi keamanan yang secara eksplisit dirancang untuk melindungi aset digital dari serangan malware dapat mengalami kelemahan itu sendiri, sehingga mengalahkan tujuan mereka sendiri. Bahkan ketika penyedia perangkat lunak antivirus terus meningkatkan pertahanan, pembuat malware telah menyelinap melewati penghalang seperti itu melalui taktik penghindaran dan kebingungan, belum lagi melewati deteksi perilaku mereka menggunakan input permusuhan melalui serangan keracunan.

“Komposabilitas yang aman adalah masalah yang terkenal dalam rekayasa keamanan,” kata para peneliti. “Komponen yang, ketika diambil secara terpisah, menawarkan permukaan serangan tertentu yang diketahui menghasilkan permukaan yang lebih luas ketika diintegrasikan ke dalam suatu sistem. Komponen berinteraksi satu sama lain dan dengan bagian lain dari sistem menciptakan dinamika yang dengannya penyerang dapat berinteraksi juga dan dengan cara yang tidak diramalkan oleh perancang.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *