Применяемые техники:
ProxyInject атака
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
Заключается в использовании оригинальных бинарных файлов антивируса с последующим
инжектированием в них вредоносного кода. Успешность эксплуатации данного метода определяется в конечном счете успехом инжектирования атакующего кода.
PageFile атака
Блокирование функционала антивирусного программного обеспечения путем обхода файлового фильтра через ядерную функцию создания page-файла.
Duplicate Handle атака
Суть – в получении обработчика через открытие защищаемого антивирусом процесса, с меньшим уровнем доступа и с его последующим повышением через дупликацию объекта описателя открытого процесса. В итоге, это может привести к полной компрометации процессов антивируса либо к инжектированию в них вредоносного кода.
RegSafe, RegRestore атака
Атака на конфигурационные данные антивирусного решения в реестре с использованием функции восстановления кустов реестра.
Shim engine атака
Блокирование функционала, инжектирование кода (при запуске антивирусного программного обеспечения) посредством установки специальной базы совместимости приложения, shim-engine инфраструктуры.
Reparse-Point атака
Блокирование функционала антивирусного ПО через открытие на защищаемой директории NTFS-потока и установку точки повторной обработки.
ссылка на исследование Dsec:
http://dsec.ru/upload/medialibrary/216/216367fd007f81be723f5d4fc47184e0.pdf
