Исследовательский коллектив двух немецких университетов вывел методику, которая позволяет создавать утилиту для кибератак из сканирующего движка антивирусного ПО.
Атаки основаны на способности антивирусов по обнаружению вредоносных программ, используя сигнатуры. Эта методика работы антивирусных продуктов подразумевает рассмотрение файла с применением словаря известных вредоносных программ, составленного разработчиками защитного решения. При соответствии фрагмента кода данной программы сигнатуре из словаря, антивирус удалит файл или переместит его в карантин.
Как утверждают исследователи, хакер может похитить сигнатуры из сканирующего движка или выяснить принцип его работы и применить антивирус для уничтожения файлов, которые хранятся на целевой системе. При внедрении копии сигнатуры вредоносной программы в безобидный файл, антивирус удалит его или переместит в карантин. В результате киберпреступник может парализовать работу предприятия.
Эксперты смогли заполучить сигнатуры вредоносных программ из 5 сканирующих движков. Специалисты воспользовались сигнатурами для того, чтобы провести три типа кибернападений: прикрытие перебора паролей посредством очистки журналов приложений, удаление пользовательских электронных сообщений и упрощение атак с помощью уничтожения cookie-файлов браузера.
