Мнение

Уязвимость

В последние дни в средствах массовой информации зазвучала тема уязвимости «magic byte» («волшебный байт»), обнаруженной Андреем Бэйора (Andrey Bayora).

В описании уязвимости утверждается, что большинство антивирусных сканеров не способны обнаружить вредоносную программу, если ее файл имеет ложный заголовок.

По большей части это сводится к невозможности распознать скриптовые вредоносные файлы вроде bat или html, если они обладают, например, заголовком MZ. Большинство антивирусных сканеров считают подобные файлы исполняемыми, в результате чего скриптовый вредоносный код остается необнаруженным.

Чтобы корректно распознать подобный файл антивирус должен провести избыточное сканирование: проверить весь файл на наличие в нем заголовков и вредоносного кода.

Основным результатом развернувшейся дискуссии стал вопрос, можно ли вообще считать обнаруженную Андреем особенность «уязвимостью»?

Поскольку контрольная сумма подобного файла изменилась, этот файл уже нельзя считать аналогичным тому же вредоносному файлу, но с корректным заголовком. Таким образом, с точки зрения антивирусного сканера, файл с подобным заголовком является просто новой версией ранее обнаруженной вредоносной программы. Поэтому с технической точки зрения «magic byte» нельзя считать уязвимостью антивирусного сканера.

Разумеется, на этот счет можно спорить. Однако главным для пользователей остается вопрос о том, насколько эта «уязвимость» угрожает их безопасности.

На мой взгляд, на данный момент угрозы пользователям нет. Во-первых, нет примеров использования «magic byte» в реальных ITW-вирусах. Во-вторых, мы ежедневно добавляем в базы десятки перепакованных вариантов ранее обнаруженных вредоносных программ, а это практически то же самое, что добавление в базы «magic byte»-варианта какого-либо червя или троянца.

Гораздо хуже было бы, если бы наш антивирусный сканер не поддерживал распаковку бинарных программных файлов, запакованных наиболее распространенными упаковщиками. Вместе с тем мы, конечно же, работаем над патчем, устраняющим данную «уязвимость». Или же — с нашей точки зрения — собираемся добавить в антивирусный сканер новую функцию, позволяющую детектировать подобные файлы без обновления антивирусных баз.

Уязвимость

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике