تهدیداتخبر

اکثر نرم‌افزارهای امنیتی بدافزار موجود در قالب پرونده VHD را تشخیص نمی‌دهند

ویل دورمن، تحلیلگر آسیب‌پذیری یک مؤسسه مهندسی نرم‌افزار، اخیراً متوجه شده که نرم‌افزار امنیتی ویندوز دیفندر (WindowsDefender) مایکروسافت به طور فعال محتوای خاصی را نادیده می‌گیرد.

تحت شرایط عادی، مایکروسافت با توجه به نوع پرونده، آن را آنالیز کرده و تفکیک می‌کند، حتی اگر یک بسته فشرده شده باشد یا قالب دیگری از پرونده بایگانی شده باشد، به طور خودکار محتوای آن را تشخیص می‌دهد. با کمال تعجب، مایکروسافت به طور خودکار تصاویر کلیه قالب‌های دیسک سخت مجازی (VHD و VHDX) را نادیده می‌گیرد، حتی اگر حاوی بدافزار باشد.

فرمت دیسک سخت مجازی VHD و VHDX است. هارد دیسک مجازی ممکن است شامل محتویات دیسک سخت فیزیکی مانند پارتیشن هارد دیسک و سیستم فایل دیسک باشد. نکته مهم این است که کاربر با فرمت دیسک سخت مجازی می‌تواند محتوا را مستقیماً باز و مرور کند، به این معنی که مهاجم می‌تواند کاربر را به بارگیری بدافزار ترغیب کند. تحت شرایط عادی، چه کاربر فایل را از طریق مرورگر یا ایمیل بارگیری کند، مایکروسافت تشخیص داده و تجزیه و تحلیل خواهد کرد که آیا محتوای آن مضر است یا خیر. هنوز معلوم نیست که چرا مایکروسافت تصاویر دیسک سخت مجازی را نادیده می‌گیرد، اما تحقیقات نشان داده است که حداقل می‌توان از تصاویر دیسک سخت مجازی به عنوان حامل بدافزار استفاده کرد.

پس از تحلیل مشکل ویندوز دیفندر، تحلیلگر آسیب‌پذیری “ویل دورمن” برای تست دیسک سخت مجازی به سایر موتورهای آنتی ویروس مجازی مراجعه کرد. با کمال تعجب، ۵۵ موتور ضد ویروسی که به وب‌سایت VirusTotal فراخوانده شده بودند، هیچ کدام با موفقیت فایل‌های مخرب موجود در دیسک سخت مجازی را شناسایی نکردند. این بدان معنی است که بیشتر نرم‌افزارهای امنیتی اصلی جهان، تشخیص تصاویر دیسک سخت مجازی را نادیده می‌گیرند، حتی اگر بدافزار موجود در آن بسیار رایج و شناخته شده‌ باشد. بنابراین در حال حاضر، اگر یک مهاجم از یک تصویر دیسک سخت مجازی برای پخش ویروس استفاده کند، بیشتر نرم‌افزارهای امنیتی آن را تجزیه و تحلیل نکرده و آن را رهگیری نمی‌کنند.

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

3 × 5 =

دکمه بازگشت به بالا
بستن
بستن