Мнение

Уязвимость

В последние дни в средствах массовой информации зазвучала тема уязвимости «magic byte» («волшебный байт»), обнаруженной Андреем Бэйора (Andrey Bayora).

В описании уязвимости утверждается, что большинство антивирусных сканеров не способны обнаружить вредоносную программу, если ее файл имеет ложный заголовок.

По большей части это сводится к невозможности распознать скриптовые вредоносные файлы вроде bat или html, если они обладают, например, заголовком MZ. Большинство антивирусных сканеров считают подобные файлы исполняемыми, в результате чего скриптовый вредоносный код остается необнаруженным.

Чтобы корректно распознать подобный файл антивирус должен провести избыточное сканирование: проверить весь файл на наличие в нем заголовков и вредоносного кода.

Основным результатом развернувшейся дискуссии стал вопрос, можно ли вообще считать обнаруженную Андреем особенность «уязвимостью»?

Поскольку контрольная сумма подобного файла изменилась, этот файл уже нельзя считать аналогичным тому же вредоносному файлу, но с корректным заголовком. Таким образом, с точки зрения антивирусного сканера, файл с подобным заголовком является просто новой версией ранее обнаруженной вредоносной программы. Поэтому с технической точки зрения «magic byte» нельзя считать уязвимостью антивирусного сканера.

Разумеется, на этот счет можно спорить. Однако главным для пользователей остается вопрос о том, насколько эта «уязвимость» угрожает их безопасности.

На мой взгляд, на данный момент угрозы пользователям нет. Во-первых, нет примеров использования «magic byte» в реальных ITW-вирусах. Во-вторых, мы ежедневно добавляем в базы десятки перепакованных вариантов ранее обнаруженных вредоносных программ, а это практически то же самое, что добавление в базы «magic byte»-варианта какого-либо червя или троянца.

Гораздо хуже было бы, если бы наш антивирусный сканер не поддерживал распаковку бинарных программных файлов, запакованных наиболее распространенными упаковщиками. Вместе с тем мы, конечно же, работаем над патчем, устраняющим данную «уязвимость». Или же — с нашей точки зрения — собираемся добавить в антивирусный сканер новую функцию, позволяющую детектировать подобные файлы без обновления антивирусных баз.

Уязвимость

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике