45 formas de engañar a 38 motores antivirus

Suman Jana y Vitaly Shmatikov, han creado el documento "Abusing File Processing in Malware Detectors for Fun and Profit" que presentan en el IEEE Symposium on Security & Privacy de este año en San Francisco. En resumen, han descubierto 45 "vulnerabilidades" (métodos para eludir motores) que afectan a un total de 38 antivirus. La mayoría relacionadas con el tratamiento de ciertos tipos de ficheros, que pueden permitir que el malware pase desapercibido por el motor y no sea detectado.

Las vulnerabilidades encontradas están relacionadas con los intérpretes de las distintas  extensiones de ficheros. Así, han encontrado diferentes formas de manipular los formatos de ficheros para permitir que pasen desapercibidos para los motores.

• TAR: Con el número más alto de métodos encontrados, 13 en total, los intérpretes puede ser explotados de diferentes formas, modificando sus caracteres iniciales o ciertos campos del formato. 34 motores antivirus se ven afectados por este fallo.
     
• ELF: Se han encontrado un total de 12 métodos en este formato que pueden ser aprovechados modificando ciertos campos o añadiendo algunos caracteres. Este error afecta a 14 motores antivirus diferentes.
     
• EXE: Con un total de 6 métodos que pueden ser aprovechados igualmente añadiendo caracteres en ciertas posiciones o manipulando algunos campos del estándar. Cinco motores se ven afectados por este fallo.
      
• Ficheros Microsoft Office: Dos métodos pueden ser explotados a través de un fichero especialmente manipulado que contenga la secuencia de caracteres especiales. Afecta a los antivirus Comodo y Sophos.
       
• RAR: Este único (método de evasión (cambiar sus dos primeros bytes por MZ) en el formato permite eludir a la mayoría de los motores conocidos (35).
      
• CAB: Se han descubierto 7 métodos que pueden afectar a 14 motores antivirus.
      
• CHM: Un único método que permite eludir las detecciones de ClamAV y Sophos. Puede ser explotado a través de la manipulación de la cabecera.
     
• Gzip y ZIP: Se han encontrado tres métodos en el intérprete de este tipo de ficheros que puede afectar a un total de 20 motores antivirus.

El número de vulnerabilidades asignadas a cada antivirus, ordenadas de mayor a menor, son:

         eSafe: 22

         QuickHeal: 20

         Rising Antivirus: 20

         Emsisoft: 19

         Ikarus Virus Utilities T3 Command Line Scanner: 19

         Panda Antivirus: 19

         Norman Antivirus: 18

         Fortinet Antivirus: 17

         Sophos Anti-Virus: 16

         McAfee Gateway: 13

         Kaspersky Anti-Virus: 11

         McAfee Anti-Virus Scanning Engine: 11

         NOD32 Antivirus: 11

         F-Prot: 10

         Command Antivirus: 10

         AVEngine: 9

         Antiy Labs AVL: 9

         Jiangmin Antivirus: 9

         AhnLab: 8

         BitDefender: 8

         Comodo: 8

         F-Secure: 8

         Trend Micro: 8

         K7 Antivirus: 7

         PC Tools AntiVirus: 7

         AVG: 6

         Clamav: 5

         ClamAV: 5

         Microsoft Security Essentials: 5

         nProtect Anti-Virus: 5

         VBA32: 5

         Avira AntiVir: 4

         VirusBuster: 4

         Avast: 3

         Dr.Web: 3

         eTrust Vet Antivirus: 3

         G Data AntiVirus: 3

         Prevx: 2

A todos estos errores se les ha asignado los CVE consecutivos que van desde CVE-2012-1419 hasta CVE-2012-1463.

Más información:

Evasion attacks expoliting file-parsing vulnerabilities in antivirus products

http://seclists.org/bugtraq/2012/Mar/88?utm_source=twitterfeed&utm_medium=twitter

José Ignacio Palacios

jipalacios@hispasec.com
Twitter: @jpalaciosortega