46 anti-virüs programı testi geçemedi!
Sıkılmış bir BT uzmanı, birkaç saat içinde bilinen yaklaşık yarım yüz anti-virüs yazılımını basit tekniklerle atlatabiliyorsa, bu gizlilik için bir endişedir. Sadece sallayan bir üretici varsa, zaten yeterince korkutucu.
Çoğu BT uzmanı, virüsten koruma yazılımının mükemmel olmadığını, ancak ne kadar enerji harcayabileceğinin farkında olsa da, şu ana kadar gerçekten çalışılmamıştır. Ancak bir BT güvenlik uzmanı olan Attila Marosi, İnternet'te kolayca bulunabilen basit teknikler kullanarak 10-12 saat içinde 46 anti-virüs yazılımı ve bu arada güvenlik duvarlarını oynadı ve bunların tümü Etik Toplantısı'nda sunulacak. 9 Mayıs'ta bilgisayar korsanlığı konferansı.
“Test sırasında, sözde Saldırgana uzaktan erişim sağlayan Metasploit shell_reverse_tcp kullandım. Bu, BT güvenlik topluluğu tarafından iyi bilinen bir kötü amaçlı yazılımdır ve virüsten koruma yazılımı, testlerde düzenli olarak uyarır. Konferans konuşmacısı Attila Marosi, “Böyle iyi bilinen bir program gizlenebiliyorsa büyük bir sorun var ve incelenen 46 anti-virüs programı alarma geçmiyor” dedi.
Uzman daha sonra en popüler 9 antivirüs ürününü araştırmaya ve çalıştırma testi yapmaya devam etti. Ancak sonuçlar burada da tam olarak ikna edici değildi: yalnızca üç antivirüs uyardı ve bunlardan yalnızca ikisi etkinliği engelledi.
Uzmana göre, çoğu anti-virüs yazılımını aşmanın en basit yolunun nedeni, virüsten koruma programlarının üreticilerin iddia ettiği veya sahip olduğu özellikleri içermemesi, ancak yalnızca "belirli bir yıldız konumu" altında çalışmasıdır, böylece kolayca kullanılabilirler. atlatılmış..
"Antivirüs ve güvenlik duvarını aşmak için çözümü gönderdiğim bir üretici vardı, ancak yanıt, üzerine bir imza yazabilecekleri için bunun bir hata olmadığıydı. Ancak bu doğru değil, çünkü bu kalıp yalnızca ben kodu değiştirene kadar çalışır. Tabii sonuçtan şok olan ve hataları ortadan kaldırmaya çalışan bir üretici de vardı” dedi.
9 Mayıs'taki Ethical Hacking Konferansı'nda antivirüs bypass yöntemini detaylı bir şekilde sunacak olan Attila Marosi'ye göre çözüm gerçek ayrılık olabilir ve halihazırda bilinmeyen kaynaklardan ya da imzasız çalışan uygulamaları kapatabilen bir işletim sistemi var. İmza tabanlı algılamaya ek olarak, virüsten koruma yazılımının daha gidecek çok yolu olduğu kötü amaçlı yazılımların gerçek zamanlı algılanmasına daha da fazla dikkat edilmelidir. Ancak çeşitli testler de bu yönde hareket etmelidir. Attila Marosi, "Çoğu testte hız gibi özellikler vurgulanır" dedi. "Ancak, bilgisayarınızda çalınarak milyonlara mal olabilecek bir iş planınız varsa, virüsten koruma yazılımı arasındaki yüzde birkaç hız farkının gerçekten bu kadar önemli olup olmadığını düşünmek iyi bir fikirdir."
Antivirüsü temizle
Ethical Hacking Konferansı'nda yukarıdaki sunum bu konuyla ilgili tek sunum olmayacak, aynı zamanda ilgi çekici olmayı da vaat ediyor. Hizmet tabanlı uç nokta korumasındaki temel sorunları araştıran ve satıcılara aşırı güvenmenin hoş olmayan sonuçlarına ilişkin pratik örnekler sunan bir Silent Signal BT güvenlik uzmanı tarafından sunulan sunum.
Test süreci
Test sırasında Attila Marosi, Metasploit shell_reverse_tcp'yi antivirüs sistemlerinden gizlemek için İnternette kolayca bulunabilen nispeten basit yöntemleri kullanarak “paketledi”. Daha sonra, virüstotal.com'da, test edilebilecek 46 antivirüsün hiçbirinin bir sorun göstermediği bir çevrimiçi tarama testi gerçekleştirdi.
Testleri, sanal makinelerde en popüler 9 antivirüs programında, halihazırda çalışan kötü amaçlı yazılımlardan yalnızca üçünün şüpheli davranış gösterdiği gerçek ortamlarda bile tekrarladı. İki antivirüs çalıştırmayı engellese de kötü niyetli kodun ne olduğunu belirleyemediler.
Ayrıca nihai çözüm, güvenlik duvarlarını atlamayı başardı ve bu uygulamaların birbirine kıyasla çoğu üretici tarafından korunmadığını kanıtladı.
