تروجانی که Windows Defender را فریب می‌دهد

در این بخش می‌توانید در رابطه با شبكه، امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید

مدیران انجمن: SHAHRAM, شوراي نظارت

ارسال پست
Colonel II
Colonel II
نمایه کاربر
پست: 7007
تاریخ عضویت: سه شنبه 26 آذر 1387, 4:20 pm
سپاس‌های ارسالی: 9183 بار
سپاس‌های دریافتی: 21042 بار
تماس:

تروجانی که Windows Defender را فریب می‌دهد

پست توسط sinaset » یک شنبه 9 مهر 1396, 2:10 pm

Windows Defender یکی از ویژگی‌های جدید ویندوز 10 است که مایکروسافت را از وجود دیگر آنتی‌ویروس‌ها رهایی می‌دهد. هر چند بسیاری از کاربران ویندوز 10 از مزاحمت‌های Windows Defender شکایت دارند، و مایکروسافت در پی شکایت‌های کمپانی‌هایی همچون کسپرسکی، گزینه‌هایی به ویندوز 10 افزود که اجازه دسترسی کاربران به تنظیمات این برنامه و غیر فعال کردن آن را می‌دهد. در حال حاضر محققان ادعا می‌کنند که برنامه‌های مخرب مجهز به تروجان می‌توانند شناسایی و اسکن ویندوز دفندر را فریب داده و حتی خود برنامه‌ی مخرب جان سالم به در ببرد. با سخت افزار همراه باشید.
 تصویر 
Illusion Gap شیوه جدیدی بوده که کمک می‌کند تا نرم‎افزار‌های آلوده به تروجان اسکن Windows Defender را فریب دهند. این تکنیک جدید اجازه می دهد تا نرم‌افزارهای مخرب با استفاده از فرآیند اسکن و اتصال به سرور SMB ، هسته‌ی اصلی آنتی ویروس را دور بزنند. سرور‌های SMB برای اتصال به دیگر محصولات AV توسط مایکروسافت تاسیس شده تا فایل‎های مورد نیاز سیستم اجرایی Windows Defender را تحت پوشش قرار دهد. در هر صورت تروجان شناسایی شده پیش از شناسایی ویندوز دفندر به سرورهای SMB ارتباط برقرار می‌کند و در اجرای اسکن اختلال ایجاد می‌کند.

در واقع محققان می‌گویند، از آنجایی که سرورهای SMB می‌توانند تقاضای بین دو درخواست را تشخیص دهند، مهاجمان می‌توانند از دو فایل مختلف ارتباط را برقرار کرده و در مرحله اول فایل مخرب را بارگذاری کنند و در مرحله دوم فایل تمیز را در اختیار اسکن Windows Defender دهند و در نتیجه هنگامی که آنتی‌ویروس مشغول بازبینی است، توسط ویندوز PE Loader تروجان اجرا می‌شود.

محققان امنیتی CyberArk این مراحل را به مایکروسافت گزارش داده و آنها در جواب اشاره کردند، این یک مورد امنیتی نبوده و برای مشخص کردن اینکه چه درخواستی از چه فرایندی می آید، مهاجم باید پروتکل SMB را برای ایجاد "شبه سرور" به منظور تمایز بین دو درخواست ایجاد کند. اما در هر صورت در خواست بازبینی سرور‌های SMB به مهندسین فرستاده شد.
منبع WccFtech
به نقل از سخت افزار
"قرآن"(کلام خدا) ...راه سعادت و خوشبختی.

ارسال پست

بازگشت به “امنيت و شبكه”