Simpel fidus: Malware udnytter eksklusionslister til antivirusprodukter

Lister over filer og mapper, der skal fredes af antivirusprodukter, kan udnyttes af malware-skribenter, mener sikkerhedsmand.

Offentlige lister over filer og mapper, som antivirusprogrammer skal lade være i fred, bliver udnyttet af it-kriminelle til at holde deres ondsindede software under radaren.

Det oplyser The Register efter - på baggrund af en sådan liste fra Citrix - selv at have spekuleret over, hvorvidt dette ikke ville være smart set med en malware-forfatters øjne.

De såkaldte eksklusionslister er lister over indhold, som antivirusprodukter skal lade være i fred for at undgå driftsforstyrrelser.

Men hvad nu, hvis et stykke malware udgiver sig for at være denneproces.exe, som optræder på en eksklusionsliste? Kan den ondsindede software så gå fri af antivirusproduktet?

Ja, mener en sikkerhedsmand, som The Register har talt med, og som gerne vil refereres til via sit hacker-alias UnixFreakxjp

»Der er malware-forfattere, som bruger whitelist-eksklusionsfiler, for det meste APT (advanced persistent threat) og målrettede infektionsgrupper, frem for operatører af offentlig malware,« oplyser han til mediet.

Mere research og flere penge til grund for APT-angreb

UnixFreakxjp påpeger endvidere, at APT-angribere er bedre finansierede og foretager en del research, før de lancerer angreb.

»De vil oftere indsætte deres malware i antivirus-eksklusionskategorierne eller i sjældnere tilfælde tvinge antivirus-konfigurationen til at ekskludere deres specifikke malware.«

Han fortæller også, at listerne med filer, der skal ekskluderes, er nødvendige for at undgå 'irriterende' falske positiver forårsaget af antivirusplatforme. UnixFreakxjp tilføjer, at de fejlagtige antivirusresultater påvirker mange virksomheder.

The Register har også talt med en anden sikkerhedsmand om eksklusionslisterne.

Han ønsker heller ikke sit navn frem, men skulle ifølge mediet være 'respekteret'.

Den unavngivne sikkerhedsmand fortæller, at han ikke har set malware, der går efter eksklusionslisterne, men han forestiller sig, det vil være brugbart for avancerede angribere.

»[Eksklusions]stierne kunne være et godt sted at placere malware-payloads før eksekvering,« siger han.

Sidstnævnte sikkerhedsmand bemærker i øvrigt at en organisation - naturligvis - ikke alene skal basere sin sikkerhed på antivirus.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere