46 антивирусных программ не прошли проверку!
Если скучающий ученый-компьютерщик способен за несколько часов с помощью простых приемов перехитрить почти полсотни известных антивирусов, это вызывает беспокойство за защиту данных. Если есть производитель, который просто подмигивает этому, это достаточно страшно.
Хотя большинство ИТ-специалистов осознают, что антивирусное программное обеспечение не является совершенным, масштабы его использования еще не исследованы. Однако эксперту по ИТ-безопасности Аттиле Марози удалось за 10-12 часов победить 46 антивирусов с помощью простых приемов, которые легко найти в Интернете, не говоря уже о межсетевых экранах, и все это он представит на конференции Ethical Hacking на 9 мая.
«Во время испытаний произошел так называемый Я использовал Metasploitshell_reverse_tcp, который предоставляет злоумышленнику удаленный доступ. Это вредоносное ПО, хорошо известное сообществу ИТ-безопасности, и антивирусы регулярно предупреждают о нем в тестах. Если такую известную программу можно скрыть, то возникает большая проблема, и 46 проверенных антивирусов не вызвали тревоги", — пояснил спикер конференции Аттила Марози.
После этого специалист провел дальнейшее расследование и провел тестирование 9 самых популярных антивирусов. Однако и здесь результаты оказались не совсем убедительными: только три антивируса подняли тревогу и только два из них заблокировали активность.
По мнению специалиста, причина того, что большинство антивирусов можно обойти простейшими методами, заключается в том, что антивирусные программы не содержат тех функций, которые заявляют производители, или которые у них есть, а работают только при «определенных созвездиях». поэтому их можно легко обойти.
«Был производитель, которому я отправил решение, которое я использовал для обхода их антивируса и брандмауэра, но мне ответили, что это не ошибка, потому что они могут написать на нем подпись. Однако это неправда, поскольку этот шаблон работает только до тех пор, пока я не изменю код. Конечно, были и производители, которые были шокированы результатом и пытаются устранить ошибки», — рассказал специалист по ИТ-безопасности.
По мнению Аттилы Марози, который подробно представит метод обхода антивирусов на конференции Ethical Hacking Conference 9 мая, решением может стать фактическое разделение, и уже существует операционная система, в которой запуск приложений из неизвестных источников или без подпись можно отключить. Кроме того, помимо распознавания на основе сигнатур, еще больше внимания следует уделять обнаружению вредоносных программ в режиме реального времени, где антивирусам еще есть куда совершенствоваться. В то же время различные тесты также должны двигаться в этом направлении. «В большинстве тестов такому атрибуту, как скорость, уделяется особое внимание, — пояснил Аттила Марози. - Однако, если на компьютере есть бизнес-план, кража которого означает потерю миллионов, то стоит задуматься, действительно ли так уж важна разница в скорости между антивирусами в несколько процентов..."
Антивирус на ровном месте
Вышеизложенное будет не единственным докладом на эту тему на конференции Ethical Hacking Conference, Buherátor: Антивирус с ясного неба, или Теневые стороны облачной защиты, тоже обещает быть интересным. презентация, в которой эксперт Silent Signal по ИТ-безопасности исследует ключевые вопросы сервисной защиты конечных точек и показывает практические примеры неприятных последствий чрезмерного доверия к производителям.
Ход тестирования
Во время тестирования Аттила Марози «упаковал» Metasploitshell_reverse_tcp, используя относительно простые методы, легко доступные в Интернете, чтобы скрыть его от антивирусных систем. После этого он провел онлайн-тест на сайтеvirustotal.com, в ходе которого ни один из 46 тестируемых антивирусов не выявил проблему.
Он повторил тесты 9 самых популярных антивирусов на виртуальных машинах в реальной среде, где только три показали, что подозрительное поведение обнаружено даже у уже запущенной вредоносной программы. Хотя два антивируса заблокировали выполнение, ни один из них не смог определить, что это за вредоносный код.
В окончательном решении ему также удалось обойти брандмауэры, что доказывает, что эти приложения не защищены большинством производителей по сравнению друг с другом.