miércoles, 21 de marzo de 2012

45 formas de engañar a 38 motores antivirus


Suman Jana y Vitaly Shmatikov, han creado el documento "Abusing File Processing in Malware Detectors for Fun and Profit" que presentan en el IEEE Symposium on Security & Privacy de este año en San Francisco. En resumen, han descubierto 45 "vulnerabilidades" (métodos para eludir motores) que afectan a un total de 38 antivirus. La mayoría relacionadas con el tratamiento de ciertos tipos de ficheros, que pueden permitir que el malware pase desapercibido por el motor y no sea detectado.

Las vulnerabilidades encontradas están relacionadas con los intérpretes de las distintas  extensiones de ficheros. Así, han encontrado diferentes formas de manipular los formatos de ficheros para permitir que pasen desapercibidos para los motores.

  • TAR: Con el número más alto de métodos encontrados, 13 en total, los intérpretes puede ser explotados de diferentes formas, modificando sus caracteres iniciales o ciertos campos del formato. 34 motores antivirus se ven afectados por este fallo.
       
  • ELF: Se han encontrado un total de 12 métodos en este formato que pueden ser aprovechados modificando ciertos campos o añadiendo algunos caracteres. Este error afecta a 14 motores antivirus diferentes.
       
  • EXE: Con un total de 6 métodos que pueden ser aprovechados igualmente añadiendo caracteres en ciertas posiciones o manipulando algunos campos del estándar. Cinco motores se ven afectados por este fallo.
        
  • Ficheros Microsoft Office: Dos métodos pueden ser explotados a través de un fichero especialmente manipulado que contenga la secuencia de caracteres especiales. Afecta a los antivirus Comodo y Sophos.
         
  • RAR: Este único (método de evasión (cambiar sus dos primeros bytes por MZ) en el formato permite eludir a la mayoría de los motores conocidos (35).
        
  • CAB: Se han descubierto 7 métodos que pueden afectar a 14 motores antivirus.
        
  • CHM: Un único método que permite eludir las detecciones de ClamAV y Sophos. Puede ser explotado a través de la manipulación de la cabecera.
       
  • Gzip y ZIP: Se han encontrado tres métodos en el intérprete de este tipo de ficheros que puede afectar a un total de 20 motores antivirus.

El número de vulnerabilidades asignadas a cada antivirus, ordenadas de mayor a menor, son:
         eSafe: 22
         QuickHeal: 20
         Rising Antivirus: 20
         Emsisoft: 19
         Ikarus Virus Utilities T3 Command Line Scanner: 19
         Panda Antivirus: 19
         Norman Antivirus: 18
         Fortinet Antivirus: 17
         Sophos Anti-Virus: 16
         McAfee Gateway: 13
         Kaspersky Anti-Virus: 11
         McAfee Anti-Virus Scanning Engine: 11
         NOD32 Antivirus: 11
         F-Prot: 10
         Command Antivirus: 10
         AVEngine: 9
         Antiy Labs AVL: 9
         Jiangmin Antivirus: 9
         AhnLab: 8
         BitDefender: 8
         Comodo: 8
         F-Secure: 8
         Trend Micro: 8
         K7 Antivirus: 7
         PC Tools AntiVirus: 7
         AVG: 6
         Clamav: 5
         ClamAV: 5
         Microsoft Security Essentials: 5
         nProtect Anti-Virus: 5
         VBA32: 5
         Avira AntiVir: 4
         VirusBuster: 4
         Avast: 3
         Dr.Web: 3
         eTrust Vet Antivirus: 3
         G Data AntiVirus: 3
         Prevx: 2

A todos estos errores se les ha asignado los CVE consecutivos que van desde CVE-2012-1419 hasta CVE-2012-1463.

Más información:

Evasion attacks expoliting file-parsing vulnerabilities in antivirus products


José Ignacio Palacios

12 comentarios:

  1. Bien por lo que veo en el enlace:

    Evasion attacks expoliting file-parsing vulnerabilities in antivirus products
    http://seclists.org/bugtraq/2012/Mar/88?utm_source=twitterfeed&utm_medium=twitter

    No sé de otras casas de antivirus, pero el motor/versión de antivirus de Kaspersky que pone que está afectado es la 7.0.0.125 ... ESTA VERSIÓN ES SUPER OBSOLETA Y ANTIGUA, ya dejó de tener soporte de ninguna clase por parte de Kaspersky ...

    ResponderEliminar
  2. Las versiones de muchos de los antivirus son obsoletas. Por ejemplo el de Panda. No obstante es el post es muy interesante.

    ResponderEliminar
  3. En verdad pongan los motores y antivirus actuales

    ResponderEliminar
  4. ¿De dónde narices viene lo del "for Fun and Profit"? ¡Explicación, por favor! xD

    ResponderEliminar
    Respuestas
    1. For fun and profit, significa "por diversion y beneficio" yo supongo que con esos fallos tan gordos, habra gente que se divierta y otra gente que se beneficie..... XDD

      Eliminar
  5. http://www.ieee-security.org/TC/SP2012/program.html

    ResponderEliminar
  6. Y de Symantec (Norton) no dice nada.

    ResponderEliminar
  7. Yo creía lo mismo!, pero resulta que el motor de symantec es AVEngine, seguramente desde la web oficial del CVE lo veas mejor :).

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1446

    ResponderEliminar
  8. Si de Symantec (Norton AV)no dice nada es que no debe (se supone) no ser vulnerable.

    ResponderEliminar
    Respuestas
    1. El motor de Symantec es AVEngine. Así que sí es vulnerable ;)

      Eliminar
  9. soy la reina de la fiesta y quiero que todos me entreguen sus virus con amor para demostrar que ni con antivirus me la sacaran!! los quiero mucho chicos, quiero a todos los hombres sobretodo negros y con buena palanca.
    muaaa!

    ResponderEliminar
  10. PERO QUIEN CARAJOS ES ESTE MARICON WEY? TE LLAMAS MANUEL CALDAS?

    ResponderEliminar