Cuộc tấn công mới vượt qua hầu như tất cả các bảo vệ chống virus

Newattack bypasses virtually all AV protection

Bait, switch, exploit!

By DanGoodin in San Francisco • Getmore f-rom this author

Posted in Security,7th May 2010 18:17 GMT

Lờingười dịch: Những người sử dụng máy tính cá nhânWindows hãy cẩn thận khi sử dụng các phần mềm diệtvirus, vì chúng có khả năng là chẳng có được ích lợigì. Theo một nghiên cứu mới đây, “Chúng tôi đã tiếnhành những thử nghiệm với [hầu hết] các sản phẩm anninh cho máy tính để bàn Windows”, các nhà nghiên cứuviết. “Các kết quả có thể được tổng kết trong mộtcâu: Nếu một sản phẩm sử dụng các móc SSDT hoặc dạngcác móc của chế độ nhân ở mức độ tương tự đểtriển khai các tính năng về an ninh thì nó có thể bịtổn thương. Nói một cách khác, 100% các sản phẩm đượcthử nghiệm đã cho thấy bị tổn thương. Các nhà nghiêncứu đã liệt kê 34 sản phẩm mà họ nói đã bị ảnhhướng đối với cuộc tấn công này, nhưng danh sách bịhạn chế bởi số lượng thời gian mà họ đã có đểthí nghiệm. “Nếu không thì, danh sách này có lẽ sẽ làbất tận”, họ nói”.

Các nhà nghiên cứunói họ nghĩ ra một cách để vượt qua được những bảovệ được xây dựng trong hàng tá các sản phẩm chốngvirus phổ biến nhất cho các máy tính để bàn, bao gồmcả của McAfee, Trend Micro, AVG và BitDefender.

Phương pháp này, đượcphát triển bởi các nhà nghiên cứu an ninh phần mềm tạimatousec.com, làm việc bằng việc khai thác các trình điềukhiển móc vào các chương trình chống virus nằm chôn sâubên trong hệ điều hành Windows. Về cơ bản, nó làm việcbằng việc gửi cho chúng một ví dụ về đoạn mã nhântừ mà vượt qua được những kiểm tra an ninh của chúngvà sau đó, trước khi nó được chạy, hoán đổi nó vớimột đoạn mã độc hại.

Sự khai thác này sẽđược định thời gian sao cho đoạn mã nhân từ kia khôngđược chuyển quá sớm hoặc quá muộn. Nhưng đối vớicác hệ thống chạy trên nhiều vi xử lý, thì cuộc tấncông kiểu “chuyển tham số” matousec này khá là tin cậyđược vì một mối đe dọa là thường không có khảnăng bám theo những luồng chạy cùng một lúc. Kết quảlà, đa số đông những bảo vệ chống phần mềm độchại cho các máy tính cá nhân Windows có thể bị lừa vàoviệc cho phép mã độc hại mà theo những điều kiệnthông thường có thể bị khóa.

Tấtcả những thứ cần thiết là việc các phần mềm chốngvirus sử dụng SSDT, hoặc các bảng mô tả dịch vụ hệthống (System Service Descriptor Table), móc vào để sửa đổicác phần của nhân hệ điều hành.

“Chúngtôi đã tiến hành những thử nghiệm với [hầu hết] cácsản phẩm an ninh cho máy tính để bàn Windows”, các nhànghiên cứu viết. “Các kết quả có thể được tổngkết trong một câu: Nếu một sản phẩm sử dụng các mócSSDT hoặc dạng các móc của chế độ nhân ở mức độtương tự để triển khai các tính năng về an ninh thì nócó thể bị tổn thương. Nói một cách khác, 100% các sảnphẩm được thử nghiệm đã cho thấy bị tổn thương”.

Cácnhà nghiên cứu đã liệt kê 34 sản phẩm mà họ nói đãbị ảnh hướng đối với cuộc tấn công này, nhưng danhsách bị hạn chế bởi số lượng thời gian mà họ đãcó để thí nghiệm. “Nếu không thì, danh sách này có lẽsẽ là bất tận”, họ nói.

Researcherssay they've devised a way to bypass protections built in to dozens ofthe most popular desktop anti-virus products, including those offeredby McAfee, Trend Micro, AVG, and BitDefender.

Themethod, developed by software security researchers at matousec.com,works by exploiting the driver hooks the anti-virus programs burydeep inside the Windows operating system. In essence, it works bysending them a sample of benign code that passes their securitychecks and then, before it's executed, swaps it out with a maliciouspayload.

Theexploit has to be timed just right so the benign code isn't switchedtoo soon or too late. But for systems running on multicoreprocessors, matousec's "argument-switch" attack is fairlyreliable because one thread is often unable to keep track of othersimultaneously running threads. As a result, the vast majority ofmalware protection offered for Windows PCs can be tricked intoallowing malicious code that under normal conditions would beblocked.

Allthat's required is that the AV software use SSDT, or System ServiceDescriptor Table, hooks to modify parts of the OS kernel.

"Wehave performed tests with [most of] today's Windows desktop securityproducts," the researchers wrote. "The results can besummarized in one sentence: If a product uses SSDT hooks or otherkind of kernel mode hooks on similar level to implement securityfeatures it is vulnerable. In other words, 100% of the testedproducts were found vulnerable."

Theresearchers listed 34 products that they said were susceptible to theattack, but the list was limited by the amount of time they had fortesting. "Otherwise, the list would be endless," they said.

Kỹ thuật này làmviệc ngay cả khi Windows đang chạy với một tài khoản cócác quyền ưu tiên hạn chế.

Thêm nữa, khai thácnày có những hạn chế của nó. Nó đòi hỏi một sốlượng mã lớn được tải lên máy đích, làm cho nókhông thực tế cho các cuộc tấn công dựa tren mã nguồncủa vỏ hoặc các cuộc tấn công mà chúng dựa vào tốcđộ và sự lén lút. Nó cũng có thể được triển khaichỉ khi một kẻ tấn công đã có được khả năng chạymột tệp nhị phân trên máy tính cá nhân đích.

Hơn nữa, kỹ thuậtnày có thể được kết hợp với một khai thác của đoạnphần mềm khác, ví dụ, một phiên bản bị tổn thươngcủa Adobe Reader hoặc Java Virtual Machine của Oracle để càiđặt phần mềm độc hại mà không nảy sinh ra sự nghingờ đối với bất kỳ phần mềm chống virus nào mà nạnnhân đã đang sử dụng.

“Kịch bản thựctế: một số sử dụng McAfee hoặc sản phẩm bị lâynhiễm khác để làm an ninh cho các máy tính để bàn củahọ”, H. D. Moore, CSO và Kiến trúc sư trưởng của dựán Metasploit, đã nói cho The Register trong một thông điệptức thì. “Một lập trình viên phần mềm độc hại lạmdụng điều kiến loại này để vượt qua được hệthống gọi các móc, cho phép phần mềm độc hại tự càiđặt và loại bỏ McAfee. Trong trường hợp này, tất cảsự 'bảo vệ' được đưa ra bởi sản phẩm về cơ bảnlà gây tranh cãi”.

Một người sử dụngmà không có các quyền quản trị cũng có thể sử dụngcuộc tấn công này để giết một phần mềm diệt virusđược cài đặt và đang chạy, ngay cẩ dù chỉ các tàikhoản của quản trị viên mới có khả năng làm việcnày, C-harlie Miller, nhà phân tích an ninh chính tạiIndependent Security Evaluators, nói.

Nghiên cứu củaMatousec là ởđây.

Thetechnique works even when Windows is running under an account withlimited privileges.

Still,the exploit has its limitations. It requires a large amount of codeto be loaded onto the targeted machine, making it impractical forshellcode-based attacks or attacks that rely on speed and stealth. Itcan also be carried out only when an attacker already has the abilityto run a binary on the targeted PC.

Still,the technique might be combined with an exploit of another piece ofsoftware, say, a vulnerable version of AdobeReader or Oracle'sJava Virtual Machine to install malware without arousing thesuspicion of the any AV software the victim was using.

"Realisticscenario: someone uses McAfee or another affected product to securetheir desktops," H D Moore, CSO and Chief Architect of theMetasploit project, told The Register in an instant message."A malware developer abuses this race condition to bypass thesystem call hooks, allowing the malware to install itself and removeMcAfee. In that case, all of the 'protection' offered by the productis basically moot."

Auser without administrative rights could also use the attack to killan installed and running AV, even though only admin accounts shouldbe able to do this, C-harlie Miller, principal security analyst atIndependent Security Evaluators, said.

Matousec.com'sresearch is here.®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com