El malware puede usar este truco para eludir la defensa contra ransomware en las soluciones antivirus

antivirus

Los investigadores han revelado debilidades de seguridad significativas en las aplicaciones de software antivirus populares que podrían ser objeto de abuso para desactivar sus protecciones y tomar el control de las aplicaciones incluidas en la lista de permitidos para realizar operaciones nefastas en nombre del malware para derrotar las defensas anti-ransomware.

Los ataques gemelos, detallados por académicos de la Universidad de Luxemburgo y la Universidad de Londres, tienen como objetivo eludir la función de carpeta protegida que ofrecen los programas antivirus para cifrar archivos (también conocido como «Cut-and-Mouse») y deshabilitar su protección en tiempo real. simulando eventos de «clic» del mouse (también conocido como «Control de fantasmas»).

«Los proveedores de software antivirus siempre ofrecen altos niveles de seguridad y son un elemento esencial en la lucha diaria contra los delincuentes», dijo el Prof. Gabriele Lenzini, científico jefe del Centro Interdisciplinario de Seguridad, Confiabilidad y Confianza de la Universidad de Luxemburgo. «Pero están compitiendo con delincuentes que ahora tienen cada vez más recursos, poder y dedicación».

Dicho de otra manera, las deficiencias en el software de mitigación de malware no solo podrían permitir que el código no autorizado desactive sus funciones de protección, las fallas de diseño en la solución de Carpetas protegidas proporcionada por los proveedores de antivirus podrían ser abusadas por, por ejemplo, ransomware para cambiar el contenido de los archivos usando una aplicación que está aprovisionada. acceso de escritura a la carpeta y cifrar los datos del usuario, o un software de limpieza para destruir irrevocablemente los archivos personales de las víctimas.

Las carpetas protegidas permiten a los usuarios especificar carpetas que requieren una capa adicional de protección contra software destructivo, lo que podría bloquear cualquier acceso no seguro a las carpetas protegidas.

«Un pequeño conjunto de aplicaciones incluidas en la lista blanca tiene privilegios para escribir en carpetas protegidas», dijeron los investigadores. «Sin embargo, las aplicaciones incluidas en la lista blanca en sí mismas no están protegidas contra el uso indebido por parte de otras aplicaciones. Por lo tanto, esta confianza no está justificada, ya que un malware puede realizar operaciones en carpetas protegidas mediante el uso de aplicaciones incluidas en la lista blanca como intermediarios».

antivirus

Un escenario de ataque ideado por los investigadores reveló que se podría usar un código malicioso para controlar una aplicación confiable como el Bloc de notas para realizar operaciones de escritura y cifrar los archivos de la víctima almacenados en las carpetas protegidas. Con este fin, el ransomware lee los archivos en las carpetas, los cifra en la memoria y los copia en el portapapeles del sistema, luego de lo cual el ransomware inicia el Bloc de notas para sobrescribir el contenido de la carpeta con los datos del portapapeles.

Peor aún, al aprovechar Paint como una aplicación confiable, los investigadores descubrieron que la secuencia de ataque mencionada anteriormente podría usarse para sobrescribir los archivos del usuario con una imagen generada aleatoriamente para destruirlos de forma permanente.

El ataque de Ghost Control, por otro lado, podría tener graves consecuencias por sí mismo, ya que desactivar la protección contra malware en tiempo real mediante la simulación de acciones legítimas del usuario realizadas en la interfaz de usuario de una solución antivirus podría permitir que un adversario descarte y ejecute cualquier programa malicioso. desde un servidor remoto bajo su control.

De las 29 soluciones antivirus evaluadas durante el estudio, 14 de ellas resultaron vulnerables al ataque Ghost Control, mientras que los 29 programas antivirus probados resultaron estar en riesgo ante el ataque Cut-and-Mouse. Los investigadores no nombraron a los proveedores que se vieron afectados.

antivirus

En todo caso, los hallazgos son un recordatorio de que las soluciones de seguridad que están diseñadas explícitamente para proteger los activos digitales de los ataques de malware pueden sufrir de debilidades en sí mismas, lo que anula su propósito. A pesar de que los proveedores de software antivirus continúan aumentando las defensas, los autores de malware se han colado a través de tales barreras a través de tácticas de evasión y ofuscación, sin mencionar eludir su detección de comportamiento utilizando entradas adversarias a través de ataques de envenenamiento.

«La componibilidad segura es un problema bien conocido en la ingeniería de seguridad», dijeron los investigadores. «Los componentes que, cuando se toman de forma aislada, ofrecen una cierta superficie de ataque conocida generan una superficie más amplia cuando se integran en un sistema. Los componentes interactúan entre sí y con otras partes del sistema crean una dinámica con la que un atacante también puede interactuar y de maneras que no fueron previstas por el diseñador.”

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática