Újabb kiskapu nyílt a vírusok előtt

Egy biztonsági kutatás arra derített fényt, hogy a virtualizáció során használatos fájlok nagyon könnyen válhatnak vírushordozóvá.
 

A vírusterjesztők folyamatosan keresik azokat a kiskapukat, amiken keresztül be tudják juttatni a kártékony kódjaikat a cégek, intézmények hálózataiba. Számukra az egyik legkézenfekvőbb megoldás, ha ártalmatlannak látszó fájlokba rejtik a károkozóikat. Csakhogy erre a víruskeresők is figyelnek, és mélységi keresésekkel jó esetben ki tudják szűrni a nemkívánatos jövevényeket.
 
Will Dormann, a CERT Coordination Center biztonsági kutatója arra volt kíváncsi, hogy az antivírus technológiák valóban minden fájltípus esetén képesek-e a mélységi keresések elvégzésére. A kutatása egészen aggasztó eredményekkel zárult.
 
A szakember VHD, illetve újabb, VHDX fájlok tesztelésével kezdte a vizsgálatokat. Ezekbe elhelyezett egy-egy EICAR fájlt, amelyet alapból minden víruskereső ismer. Ezt követően a "fertőzött" VHD/VHDX fájlokat feltöltötte ellenőrzésre a VirusTotalra, és megdöbbenésére egyetlen víruskereső sem riasztott. Ezután ISO és IMG állományokkal próbálkozott hasonló módon. Ez esetben a VirusTotalon 16 víruskereső jelzett veszélyt a több mint 50 víruskereső motor közül. Vagyis ekkor javult a felismerési arány, de korántsem kielégítő módon.


Forrás: Will Dormann 
 
Dormann aggodalmának adott hangot, mivel véleménye szerint napjainkban a VHD/VHDX fájlok a támadók számára kiváló terepet jelentenek a vírusok hálózatokba történő bejuttatásához. Egyrészt - kellő védelmi intézkedések nélkül - áthatolnak az átjárók biztonságát ellenőrző technológiákon, és a végpontokon sem keltenek gyanút. Ráadásul az újabb Windows verziók esetében elég ezekre kétszer kattintani, és máris elérhetővé válnak a bennük lévő állományok. Nyilván ekkor már az on-access alapon működő víruskeresők könnyebben ismerhetik fel a nemkívánatos kódokat, de mindez nem fedi el azt a tényt, hogy a kártékony programok már bekerültek a kiszemelt szervezet informatikai rendszerébe.


Forrás: Will Dormann
 
Védekezési lehetőségek
 
Dormann szerint amíg az antivírus fejlesztők nem tesznek lépéseket a VHD/VHDX állományok mélyreható vizsgálatát illetően, addig érdemes további óvintézkedéseket foganatosítani. Ezek közül a legfontosabbak:
  • Lehetőség szerint blokkoljuk a VHD, VHDX, ISO és IMG állományokat az átjárókon és a tartalomszűrőkben.
  • A problémás kiterjesztésű állományokhoz tartozó alkalmazás-hozzárendeléseket szüntessük meg, hogy azok két kattintást követően ne nyíljanak meg automatikusan.
  • Lehetőség szerint tiltsuk a VHD, VHDX, ISO és IMG kiterjesztésű állományok letöltését.
Vélemények
 
  1. 3

    A Trend Micro biztonsági frissítést adott ki a Deep Security Manager, valamint a Vulnerability Protection megoldásaihoz.

  2. 3

    A McAfee Web Gateway egy fontos biztonsági frissítést kapott.

  3. 1

    A Priwidd trójai egy hátsó kaput létesít a fertőzött számítógépeken, és egy webszerverről fogadja a támadók utasításait.

 
Partnerhírek
Gartner: az ESET az egyetlen kihívó a végpontvédelemben

A Gartner kutatói immár két egymást követő évben is az ESET vállalatát nevezték meg az egyetlen kihívó (Challenger) cégként (a Magic Quadrant for Endpoint Platforms című) éves jelentésükben.

Postai csomagok segítségével támadhatnak a hackerek

Az IBM szakértői egy olyan olcsó és kis méretű eszközt állítottak össze, amely a vállalat vagy házunk környékén kémkedhet adatokra.

hirdetés
Közösség
1