SafeGroup
"Przygody z AV i dziurawą piaskownicą" - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Inne (https://safegroup.pl/forum-15.html)
+--- Wątek: "Przygody z AV i dziurawą piaskownicą" (/thread-11152.html)



"Przygody z AV i dziurawą piaskownicą" - ichito - 31.07.2017

Tytuł jest wolnym tłumaczeniem oryginału - "The Adventures of AV and the Leaky Sandbox" - i jest to tytuł interesującego artykułu na temat znalezionych luk w programach AV korzystających z technologii chmury. Wiele rozwiązań...nie tylko AV...korzysta z takiego rozwiązania, bo to poszerza możliwości, ale lokalnie zmniejsza też zużycie zasobów (pamiętamy początki Pandy Cloud AV). Artykuł powstał jako podsumowanie badań, które zaprezentowano na konferencji Black Hat USA 2017 - na samej konferencji przedstawiono prezentację pod tym samym tytułem - a jest autorstwa dwóch badaczy z laboratorium SafeBreach.
OK, a teraz trochę o treści...badacze przedstawili autorskie techniki i narzędzia przełamywania zabezpieczeń, które opisali tak (moje tłumaczenie)

Cytat:Nasza technika wykorzystuje samoczynny wyciek danych pliku wykonywalnego, który jest tworzony na maszynie klienckiej (przez główny proces złośliwego oprogramowania), wykryty jest przez agenta AV, następnie przesłany do chmury do dalszej inspekcji i uruchamiany w połączonej z internetem piaskownicy.

Udostępniamy także dane i spostrzeżenia dotyczące tych piaskownic AV w z funkcją analizy w obrębie chmury. Uogólniamy nasze odkrycia tak, aby objąć wnioskami lokalizacje końcowe (klienckie), korzystanie z usług skanowania w chmurze oraz usług w zakresie klasyfikacji złośliwego oprogramowania i dzielenia się próbkami na dużą skalę. Na koniec rozwiązujemy kwestie nie tylko jak zwiększyć atak, ale i jak dostawcy AV w chmurze mogą je złagodzić.

Rezultaty testów przedstawia tabelka poniżej...jak widać 4 produkty (Avira, ESET, Kaspersky i Comod) z 10 testowanych znanych najbardziej AV wykazują podatność na wyciek danych z piaskownic. Należy zwrócić uwagę, że dane mogą wyjść poza piaskownicę mimo nałożonych przez nią restrykcji na testowany plik/proces m.in. braku bezpośredniego dostępu do sieci lub dostępu limitowanego (dostęp tylko poprzez wyznaczone aplikacje/procesy).

[attachment=1042]

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Prezentacja

[Aby zobaczyć linki, zarejestruj się tutaj]

Artykuł

[Aby zobaczyć linki, zarejestruj się tutaj]