Об этом сообщают cnews.ru со ссылкой на исследование эксперта компании SafeBreach Ора Яира. Он напомнил, что EDR является классом решений для выявления и изучения на конечных точках вредоносной активности. Речь идет о серверах, рабочих станциях и устройствах интернета вещей. EDR борются со сложными угрозами и целевыми атаками. Подобные решения не заменяют антивирусы, потому что решают иные задачи. Их объединяет сканирование файловой системы ПК на предмет выявления подозрительных событий и вредоносных программ. Их обнаружение приводит к попытке удаления или изоляции в карантин опасного ПО. А сначала файл распознается антивирусом или EDR как вредоносный. Потом уже производится удаление.
Но, если вклиниться между двумя этими событиями, то появится возможность «перенаправить» EDR-систему на другие каталоги. Решение эксперта состояло в том, чтобы сначала создать вредоносный файл, а затем оставить его открытым. Он не указывал, каким еще процессам разрешается записывать/удалять его, чтобы антивирусы и EDR не могли его стереть. «Слепо» следуя хитрой инструкции эксперта, Windows ликвидировала легитимный файл.
Яир создал вайпер, т.е. программу, которая необратимо уничтожает данные. Ее нет возможности обнаружить. Вайпер удаляет данные даже из защищенных каталогов, что приводит к невозможности загрузки системы. Aikido Wiper срабатывает против Defender for Endpoint, Microsoft Defender и еще 9 защитных систем. К настоящему времени все вендоры после уведомления эксперта устранили проблему. Сильно повезло, что информация о проблеме не утекла в Сеть. В противном случае появилось бы «абсолютное оружие», способное уничтожить любую систему.
Ранее Solovei.info сообщал об обнаружении фишинговых приложений среди менеджеров паролей.