Η προστασία του Windows Defender παρακάμφθηκε με τεχνικές XOR
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η προστασία του Windows Defender παρακάμφθηκε με τεχνικές XOR
https://www.secnews.gr/646041/prostasia-apo-ious-windows-defender-parakamthike-xor/
Apr 11th 2025, 12:37
by Absenta Mia
Μια νέα εξελιγμένη μέθοδος για την παράκαμψη της προστασίας antivirus Windows Defender της Microsoft, συνδυάζοντας άμεσες κλήσεις συστήματος με τεχνικές κρυπτογράφησης XOR.
Δείτε επίσης: Microsoft Defender: Ανίχνευση μη ασφαλών Wi-Fi δικτύων και ειδοποίηση χρηστών
Η έρευνα, που δημοσιεύθηκε αυτή την εβδομάδα, αποκαλύπτει κρίσιμες ευπάθειες σε μία από τις πιο διαδεδομένες λύσεις ασφαλείας που περιλαμβάνεται σε κάθε εγκατάσταση των Windows.
Η καινοτόμος αυτή τεχνική εκμεταλλεύεται την θεμελιώδη αρχιτεκτονική του λειτουργικού συστήματος Windows, εκμεταλλευόμενη τα όρια μεταξύ της λειτουργίας χρήστη (Ring 3) και της λειτουργίας πυρήνα (Ring 0). Με την παράκαμψη της παραδοσιακής ροής εκτέλεσης των Windows, οι επιτιθέμενοι μπορούν να εκτελούν κακόβουλο κώδικα χωρίς να ενεργοποιούν τους μηχανισμούς άμυνας.
Σύμφωνα με την έρευνα που δημοσιεύθηκε από την Hackmosphere, η τεχνική λειτουργεί αποφεύγοντας την παραδοσιακή διαδρομή εκτέλεσης, όπου οι εφαρμογές καλούν τις συναρτήσεις API των Windows μέσω βιβλιοθηκών όπως η kernel32.dll, η οποία στη συνέχεια προωθεί τα αιτήματα στην ntdll.dll πριν πραγματοποιήσει την πραγματική κλήση συστήματος στον πυρήνα.
Δείτε ακόμα: Microsoft Patch Tuesday Νοεμβρίου 2024: Διορθώνει 91 ευπάθειες
Αντίθετα, οι επιτιθέμενοι εκτελούν απευθείας την εντολή syscall με τον κατάλληλο αριθμό syscall, παρακάμπτοντας οποιαδήποτε παρακολούθηση ασφαλείας σε επίπεδο χρήστη.
Οι ερευνητές ενίσχυσαν περαιτέρω αυτή την επίθεση εφαρμόζοντας κρυπτογράφηση XOR για να αποκρύψουν κακόβουλους κώδικες από το Windows Defender. Αυτή η απλή αλλά αποτελεσματική κρυπτογραφική τεχνική μετατρέπει τον κακόβουλο κώδικα σε μια μη αναγνωρίσιμη μορφή που αποφεύγει την ανίχνευση με βάση τις υπογραφές.
Η κρυπτογράφηση XOR βασίζεται στην αρχή της bitwise XOR, όπου κάθε bit του κωδικού κειμένου συνδυάζεται με το αντίστοιχο bit από ένα μυστικό κλειδί. Όταν το φορτίο είναι έτοιμο προς εκτέλεση, αποκρυπτογραφείται στη μνήμη, χωρίς να αφήνει ίχνη στον δίσκο που θα μπορούσαν να ανιχνευθούν από λύσεις antivirus.
Η Microsoft έχει προηγουμένως αναφερθεί σε παρόμοιες τεχνικές παράκαμψης, δηλώνοντας ότι έχουν "περιορισμένη πρακτική εφαρμογή", καθώς συχνά απαιτούν αλληλεπίδραση του χρήστη για να εκτελούνται. Ωστόσο, οι ειδικοί ασφαλείας διαφωνούν, επισημαίνοντας ότι τέτοιες τεχνικές θα μπορούσαν να ενσωματωθούν εύκολα σε ευρύτερες αλυσίδες επιθέσεων.
Δείτε επίσης: Το Microsoft Patch Tuesday Οκτωβρίου 2024 διορθώνει 118 ευπάθειες
Παρά τις τεχνικές κρυπτογράφησης XOR που το επηρεάζουν, το Windows Defender (πλέον γνωστός ως Microsoft Defender Antivirus) είναι το προεγκατεστημένο πρόγραμμα προστασίας από ιούς και απειλές στα Windows 10 και Windows 11. Είναι το βασικό εργαλείο ασφαλείας της Microsoft και έχει εξελιχθεί πολύ τα τελευταία χρόνια. Το Windows Defender προσφέρει πολλές υπηρεσίες όπως: Ανίχνευση ιών, malware, spyware και άλλων απειλών σε πραγματικό χρόνο,προστασία cloud-based για να εντοπίζει νέες απειλές πιο γρήγορα, ενσωματωμένο έλεγχο τείχους προστασίας και ρυθμίσεις ασφαλείας δικτύου, προστασία από ransomware με δυνατότητα ελέγχου πρόσβασης σε ευαίσθητους φακέλους, sandboxing σε απομονωμένο περιβάλλον ώστε, ακόμα και αν χακαριστεί, να μην εξαπλωθεί στο σύστημα, αυτόματες ενημερώσεις μέσω του Windows Update.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η προστασία του Windows Defender παρακάμφθηκε με τεχνικές XOR
https://www.secnews.gr/646041/prostasia-apo-ious-windows-defender-parakamthike-xor/
Apr 11th 2025, 12:37
by Absenta Mia
Μια νέα εξελιγμένη μέθοδος για την παράκαμψη της προστασίας antivirus Windows Defender της Microsoft, συνδυάζοντας άμεσες κλήσεις συστήματος με τεχνικές κρυπτογράφησης XOR.
Δείτε επίσης: Microsoft Defender: Ανίχνευση μη ασφαλών Wi-Fi δικτύων και ειδοποίηση χρηστών
Η έρευνα, που δημοσιεύθηκε αυτή την εβδομάδα, αποκαλύπτει κρίσιμες ευπάθειες σε μία από τις πιο διαδεδομένες λύσεις ασφαλείας που περιλαμβάνεται σε κάθε εγκατάσταση των Windows.
Η καινοτόμος αυτή τεχνική εκμεταλλεύεται την θεμελιώδη αρχιτεκτονική του λειτουργικού συστήματος Windows, εκμεταλλευόμενη τα όρια μεταξύ της λειτουργίας χρήστη (Ring 3) και της λειτουργίας πυρήνα (Ring 0). Με την παράκαμψη της παραδοσιακής ροής εκτέλεσης των Windows, οι επιτιθέμενοι μπορούν να εκτελούν κακόβουλο κώδικα χωρίς να ενεργοποιούν τους μηχανισμούς άμυνας.
Σύμφωνα με την έρευνα που δημοσιεύθηκε από την Hackmosphere, η τεχνική λειτουργεί αποφεύγοντας την παραδοσιακή διαδρομή εκτέλεσης, όπου οι εφαρμογές καλούν τις συναρτήσεις API των Windows μέσω βιβλιοθηκών όπως η kernel32.dll, η οποία στη συνέχεια προωθεί τα αιτήματα στην ntdll.dll πριν πραγματοποιήσει την πραγματική κλήση συστήματος στον πυρήνα.
Δείτε ακόμα: Microsoft Patch Tuesday Νοεμβρίου 2024: Διορθώνει 91 ευπάθειες
Αντίθετα, οι επιτιθέμενοι εκτελούν απευθείας την εντολή syscall με τον κατάλληλο αριθμό syscall, παρακάμπτοντας οποιαδήποτε παρακολούθηση ασφαλείας σε επίπεδο χρήστη.
Οι ερευνητές ενίσχυσαν περαιτέρω αυτή την επίθεση εφαρμόζοντας κρυπτογράφηση XOR για να αποκρύψουν κακόβουλους κώδικες από το Windows Defender. Αυτή η απλή αλλά αποτελεσματική κρυπτογραφική τεχνική μετατρέπει τον κακόβουλο κώδικα σε μια μη αναγνωρίσιμη μορφή που αποφεύγει την ανίχνευση με βάση τις υπογραφές.
Η κρυπτογράφηση XOR βασίζεται στην αρχή της bitwise XOR, όπου κάθε bit του κωδικού κειμένου συνδυάζεται με το αντίστοιχο bit από ένα μυστικό κλειδί. Όταν το φορτίο είναι έτοιμο προς εκτέλεση, αποκρυπτογραφείται στη μνήμη, χωρίς να αφήνει ίχνη στον δίσκο που θα μπορούσαν να ανιχνευθούν από λύσεις antivirus.
Η Microsoft έχει προηγουμένως αναφερθεί σε παρόμοιες τεχνικές παράκαμψης, δηλώνοντας ότι έχουν "περιορισμένη πρακτική εφαρμογή", καθώς συχνά απαιτούν αλληλεπίδραση του χρήστη για να εκτελούνται. Ωστόσο, οι ειδικοί ασφαλείας διαφωνούν, επισημαίνοντας ότι τέτοιες τεχνικές θα μπορούσαν να ενσωματωθούν εύκολα σε ευρύτερες αλυσίδες επιθέσεων.
Δείτε επίσης: Το Microsoft Patch Tuesday Οκτωβρίου 2024 διορθώνει 118 ευπάθειες
Παρά τις τεχνικές κρυπτογράφησης XOR που το επηρεάζουν, το Windows Defender (πλέον γνωστός ως Microsoft Defender Antivirus) είναι το προεγκατεστημένο πρόγραμμα προστασίας από ιούς και απειλές στα Windows 10 και Windows 11. Είναι το βασικό εργαλείο ασφαλείας της Microsoft και έχει εξελιχθεί πολύ τα τελευταία χρόνια. Το Windows Defender προσφέρει πολλές υπηρεσίες όπως: Ανίχνευση ιών, malware, spyware και άλλων απειλών σε πραγματικό χρόνο,προστασία cloud-based για να εντοπίζει νέες απειλές πιο γρήγορα, ενσωματωμένο έλεγχο τείχους προστασίας και ρυθμίσεις ασφαλείας δικτύου, προστασία από ransomware με δυνατότητα ελέγχου πρόσβασης σε ευαίσθητους φακέλους, sandboxing σε απομονωμένο περιβάλλον ώστε, ακόμα και αν χακαριστεί, να μην εξαπλωθεί στο σύστημα, αυτόματες ενημερώσεις μέσω του Windows Update.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια