Újabb kiskapu nyílt a vírusok előtt

Egy biztonsági kutatás arra derített fényt, hogy a virtualizáció során használatos fájlok nagyon könnyen válhatnak vírushordozóvá.
 

A vírusterjesztők folyamatosan keresik azokat a kiskapukat, amiken keresztül be tudják juttatni a kártékony kódjaikat a cégek, intézmények hálózataiba. Számukra az egyik legkézenfekvőbb megoldás, ha ártalmatlannak látszó fájlokba rejtik a károkozóikat. Csakhogy erre a víruskeresők is figyelnek, és mélységi keresésekkel jó esetben ki tudják szűrni a nemkívánatos jövevényeket.
 
Will Dormann, a CERT Coordination Center biztonsági kutatója arra volt kíváncsi, hogy az antivírus technológiák valóban minden fájltípus esetén képesek-e a mélységi keresések elvégzésére. A kutatása egészen aggasztó eredményekkel zárult.
 
A szakember VHD, illetve újabb, VHDX fájlok tesztelésével kezdte a vizsgálatokat. Ezekbe elhelyezett egy-egy EICAR fájlt, amelyet alapból minden víruskereső ismer. Ezt követően a "fertőzött" VHD/VHDX fájlokat feltöltötte ellenőrzésre a VirusTotalra, és megdöbbenésére egyetlen víruskereső sem riasztott. Ezután ISO és IMG állományokkal próbálkozott hasonló módon. Ez esetben a VirusTotalon 16 víruskereső jelzett veszélyt a több mint 50 víruskereső motor közül. Vagyis ekkor javult a felismerési arány, de korántsem kielégítő módon.


Forrás: Will Dormann 
 
Dormann aggodalmának adott hangot, mivel véleménye szerint napjainkban a VHD/VHDX fájlok a támadók számára kiváló terepet jelentenek a vírusok hálózatokba történő bejuttatásához. Egyrészt - kellő védelmi intézkedések nélkül - áthatolnak az átjárók biztonságát ellenőrző technológiákon, és a végpontokon sem keltenek gyanút. Ráadásul az újabb Windows verziók esetében elég ezekre kétszer kattintani, és máris elérhetővé válnak a bennük lévő állományok. Nyilván ekkor már az on-access alapon működő víruskeresők könnyebben ismerhetik fel a nemkívánatos kódokat, de mindez nem fedi el azt a tényt, hogy a kártékony programok már bekerültek a kiszemelt szervezet informatikai rendszerébe.


Forrás: Will Dormann
 
Védekezési lehetőségek
 
Dormann szerint amíg az antivírus fejlesztők nem tesznek lépéseket a VHD/VHDX állományok mélyreható vizsgálatát illetően, addig érdemes további óvintézkedéseket foganatosítani. Ezek közül a legfontosabbak:
  • Lehetőség szerint blokkoljuk a VHD, VHDX, ISO és IMG állományokat az átjárókon és a tartalomszűrőkben.
  • A problémás kiterjesztésű állományokhoz tartozó alkalmazás-hozzárendeléseket szüntessük meg, hogy azok két kattintást követően ne nyíljanak meg automatikusan.
  • Lehetőség szerint tiltsuk a VHD, VHDX, ISO és IMG kiterjesztésű állományok letöltését.
Vélemények
 
  1. 3

    A Vivotek firmware frissítést adott ki egyes IP-kameráihoz.

  2. 3

    A Dell EMC RSA Archer két sérülékenységtől vált meg a legújabb frissítéseinek köszönhetően.

  3. 1

    A Priwidd trójai egy hátsó kaput létesít a fertőzött számítógépeken, és egy webszerverről fogadja a támadók utasításait.

 
Partnerhírek
Hamis szerelem a Facebookon

Tragédiába torkollott egy facebookos kamuprofil körüli eset, a féltékeny férj lelőtte az online csalók áldozatául esett feleségét.

A mobilbiztonság helyzete 2019 első félévében

Az ESET átfogó áttekintést készített arról, hogyan alakult a mobilbiztonsági helyzete a 2019-es esztendő első félévében.

hirdetés
Közösség
1