در این بخش می‌توانید در رابطه با شبكه، امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید
Colonel II

Colonel II



نماد کاربر
پست ها

6358

تشکر کرده: 1652 مرتبه
تشکر شده: 7877 مرتبه
تاريخ عضويت

سه شنبه 26 آذر 1387 16:20

آرشيو سپاس: 11653 مرتبه در 2024 پست

تروجانی که Windows Defender را فریب می‌دهد

توسط sinaset » يکشنبه 9 مهر 1396 14:10

Windows Defender یکی از ویژگی‌های جدید ویندوز 10 است که مایکروسافت را از وجود دیگر آنتی‌ویروس‌ها رهایی می‌دهد. هر چند بسیاری از کاربران ویندوز 10 از مزاحمت‌های Windows Defender شکایت دارند، و مایکروسافت در پی شکایت‌های کمپانی‌هایی همچون کسپرسکی، گزینه‌هایی به ویندوز 10 افزود که اجازه دسترسی کاربران به تنظیمات این برنامه و غیر فعال کردن آن را می‌دهد. در حال حاضر محققان ادعا می‌کنند که برنامه‌های مخرب مجهز به تروجان می‌توانند شناسایی و اسکن ویندوز دفندر را فریب داده و حتی خود برنامه‌ی مخرب جان سالم به در ببرد. با سخت افزار همراه باشید.

Illusion Gap شیوه جدیدی بوده که کمک می‌کند تا نرم‎افزار‌های آلوده به تروجان اسکن Windows Defender را فریب دهند. این تکنیک جدید اجازه می دهد تا نرم‌افزارهای مخرب با استفاده از فرآیند اسکن و اتصال به سرور SMB ، هسته‌ی اصلی آنتی ویروس را دور بزنند. سرور‌های SMB برای اتصال به دیگر محصولات AV توسط مایکروسافت تاسیس شده تا فایل‎های مورد نیاز سیستم اجرایی Windows Defender را تحت پوشش قرار دهد. در هر صورت تروجان شناسایی شده پیش از شناسایی ویندوز دفندر به سرورهای SMB ارتباط برقرار می‌کند و در اجرای اسکن اختلال ایجاد می‌کند.

در واقع محققان می‌گویند، از آنجایی که سرورهای SMB می‌توانند تقاضای بین دو درخواست را تشخیص دهند، مهاجمان می‌توانند از دو فایل مختلف ارتباط را برقرار کرده و در مرحله اول فایل مخرب را بارگذاری کنند و در مرحله دوم فایل تمیز را در اختیار اسکن Windows Defender دهند و در نتیجه هنگامی که آنتی‌ویروس مشغول بازبینی است، توسط ویندوز PE Loader تروجان اجرا می‌شود.

محققان امنیتی CyberArk این مراحل را به مایکروسافت گزارش داده و آنها در جواب اشاره کردند، این یک مورد امنیتی نبوده و برای مشخص کردن اینکه چه درخواستی از چه فرایندی می آید، مهاجم باید پروتکل SMB را برای ایجاد "شبه سرور" به منظور تمایز بین دو درخواست ایجاد کند. اما در هر صورت در خواست بازبینی سرور‌های SMB به مهندسین فرستاده شد.
منبع WccFtech
به نقل از سخت افزار
"قرآن"(کلام خدا) ...راه سعادت و خوشبختی.

Ali$amir از این پست سپاسگزاري کرده است

چه کسي حاضر است ؟

کاربران حاضر در اين انجمن: بدون كاربران آنلاين و 1 مهمان