Atak KHOBE: programy antywirusowe dla Windows są nic nie warte?

Zapewne nasi czytelnicy znają mantrę powtarzaną przez producentów oprogramowania antywirusowego dla systemów z rodziny Windows – trzeba mieć zaktualizowany system, włączoną zaporę sieciową i oczywiście zainstalowanego antywirusa (najlepiej płatnego). Mantry czasem jednak mogą nie działać. Udowodnili to badacze z Matousec.com, tworząc metodę ataku, która podczas testów poradziła sobie z 34 najpopularniejszymi pakietami antywirusowymi, w tym produktami Kasperskiego, G Data, Pandy czy Aviry.

Stworzony przez ekspertów z Matousec.com atak „podmieniania argumentów” (ang. the argument-switch attack) wymierzony jest w punkty zaczepienia (haki, ang. hooks), wykorzystywane przez producentów oprogramowania antywirusowego do monitorowania i filtrowania aktywności aplikacji w systemie operacyjnym. Punkt zaczepienia to bezpośrednia modyfikacja kodu jądra czy aplikacji użytkowych. Ich wprowadzenie było związane z tym, że Windows nie oferowało zbyt wielu udokumentowanych interfejsów monitorowania. Współczesne programy AV korzystają z dziesiątków takich „haków”, by zaimplementować swoje funkcje ochronne.

W 2007 roku badacze z Matousec.com ustalili jednak, że większość producentów oprogramowania antywirusowego swoje punkty zaczepienia zaimplementowała w bardzo kiepski sposób, tworząc w ten sposób nowe luki w systemach, które mieli chronić. Aby pomóc w wynajdywaniu tych luk, stworzyli narzędzie o nazwie BSODHook. Pomogło ono producentom w ulepszeniu ich implementacji, po tym jak znaleźli się oni pod obstrzałem prasy branżowej.

Teraz okazało się, że wprowadzone poprawki są wciąż do niczego. Niektórzy z nich wciąż wykorzystują haki trybu użytkownika (ang. user mode), wyjątkowo łatwe do exploitowania, ci bardziej solidni wzięli się za implementację w jądrze, modyfikując zawartość tabeli SSDT (System Service Descriptor Table). To też jednak nie stanowi żadnej ochrony przed atakiem podmiany argumentów, budowanym na bazie engine'u KHOBE (Kernel HOoK Bypassing Engine). Pozwala on w krótkim czasie pisać exploity dla wszelkiej maści oprogramowania zabezpieczającego systemy Windows.

W skrócie atak podmieniania argumentów polega na wywołaniu usługi systemowej z niewinnymi parametrami, które nie wzbudzą alarmu w systemie ochrony, po czym w odpowiednim momencie, przed uruchomieniem tego nieszkodliwego kodu, inny wątek podmienia go na kod złośliwy, który nigdy by nie przeszedł przez mechanizm zabezpieczeń. Wszystko sprowadza się do zadziałania w odpowiednim czasie – jednak w nowoczesnych wielordzeniowych komputerach jest to w miarę łatwe. Jak wyjaśniają badacze, zazwyczaj jeden wątek nie jest w stanie śledzić tego, co się dzieje w innych jednocześnie uruchomionych wątkach.

Dzięki temu atakowi można zmusić Windows do uruchomienia kodu, który w normalnych wypadkach byłby zablokowany. Co gorsza, działa on nawet wtedy, gdy konto na którym pracuje użytkownik, ma ograniczone uprawnienia. Ze szczegółowym opisem metod obejścia haków SSDT można się zapoznać w tym artykule.

«poprzednia 1 2 następna »

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

11 skomentuj »

Polecamy

Reklama

Komentarze

#1 kalina^® 2010-05-08 19:19:27 0
Ciekawe co z Microsoft Security Essentials... :)
IP: 62.69.209.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
#2 iXz 2010-05-09 11:48:23 0
Gratuluję poziomu newsa. Dawno nie czytałem tak treściwej notki, która by mnie pochłonęła do czytania bez oderwania się do końca. Dobra robota Autorze!

A co do ataków, no cóż ;P Zawsze ci "źli" będą trochę bardziej do przodu niż ci "dobrzy". Taka natura i nieprzewidywalność. Ale techniki serio coraz bardziej wyimaginowane mają :D
IP: 90.156.82.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.5.24 Version/10.53
#3 Jakub Nietrzeba 2010-05-09 12:30:00 0
No i tu wyłazi w jaki sposób sytem zaprojektowany przed internetem, przed wieloma wątkami w latach siedemdziesiątych zeszłego wieku, pomimo wielu lat nakładania łat i rozszerzania funkcjonalności jest przystosowany do zagrożeń współczesnego świata.

Pięknie, po prostu pięknie.
IP: 88.156.161.[...] Mozilla/5.0 (X11; U; Linux x86_64; pl-PL; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3
#4 vicurry 2010-05-09 13:05:03 0
tu mozecie przetestowac skutecznosc i konfiguracje swojego antwirusa: http://niebezpiecznik.pl/post/przetestuj-swojego-antywirusa/
IP: 91.150.221.[...] Opera/9.80 (Macintosh; Intel Mac OS X; U; en) Presto/2.2.15 Version/10.10
#5 klaudia janoska 2010-05-09 14:19:39 0
spadaj
IP: 82.159.124.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.1.9) Gecko/20100315 Firefox/3.5.9
#6 ke_be^® 2010-05-09 19:24:09 0
kalina@ też jestem tego ciekawy, używam go od jakiegoś czasu i całkiem nieźle sobie radzi.
IP: 195.150.49.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.29 Safari/533.4
#7 trasz 2010-05-10 12:58:33 0
@Jakub Nietrzeba: Problemem nie jest system, tylko radosna tworczosc autorow antywirusow. Dokladnie ten sam problem moze wystapic pod innymi systemami (i wystepowal, vide systrace), z dokladnie tych samych przyczyn.
IP: 83.12.187.[...] Opera/9.80 (Macintosh; Intel Mac OS X; U; pl) Presto/2.5.24 Version/10.53
#8 piszczyk4U43 2010-05-10 21:02:14 0
Antywirus w Windows to jak zabezpieczanie Gerdą Tytan 2000 drzwi do słomianej chaty :)
IP: 95.178.16.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Chrome/6.0.400.0 Safari/533.9
#9 dareczek 2010-05-10 23:53:33 0
a jest jakikolwiek antywirus ktory jest wychwyci KHOBE , autorzy nie podali takowego ??
IP: 195.82.167.[...] Mozilla/5.0 (Windows; U; Windows NT 5.2; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 GTB7.0 ( .NET CLR 3.5.30729; .NET4.0E)
#10 swap 2010-05-11 09:41:17 0
Proszę jednak wziąć pod uwagę, że nie jest to nowy problem. I tak jak w przypadku niepoprawnego filtrowania parametrów przekazywanych z trybu użytkownika do usług systemowych, tak i tym razem błędy zostaną szybko poprawione a pojawią się kolejne albo nie znikną te bardziej niebezpieczne, o których nikt nie pisze. Opisany błąd występuje praktycznie w każdym oprogramowaniu, które filtruje usługi na tym poziomie (SDT). Wystarczy jednak przed przystąpieniem do filtracji skopiować wszystkie przekazane z trybu użytkownika parametry (na stos lub do puli) by zapobiedz ich podmianie. Co istotne, tego typu zabezpieczenie chroni użytkowników korzystających z konta uprzywilejowanego. System standardowo blokuje pewne akcje dla użytkownika bez dodatkowych uprawnień (skutecznie). Wracając do innych błędów testowanego oprogramowania. Dzięki nim można nie tylko podmieniać parametry usług ale również wykonać dowolny kod na poziomie jądra - często bez posiadania dodatkowych uprawnień. Inaczej mówiąc ktoś zablokował Ci dostęp do Administratora? Wykorzystaj zatem wbudowaną funkcjonalność oprogramowania zabezpieczającego i np. stwórz własne konto Admina bez jego wiedzy ;)
IP: 62.87.152.[...] Opera/9.80 (Windows NT 5.1; U; pl) Presto/2.5.24 Version/10.53
#11 Loy 2010-05-11 09:51:44 0
@piszczyk4U43: cóż za błyskotliwość.
IP: 89.174.38.[...] Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; x64; Trident/4.0)

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.