Illusion Gap شیوه جدیدی بوده که کمک میکند تا نرمافزارهای آلوده به تروجان اسکن Windows Defender را فریب دهند. این تکنیک جدید اجازه می دهد تا نرمافزارهای مخرب با استفاده از فرآیند اسکن و اتصال به سرور SMB ، هستهی اصلی آنتی ویروس را دور بزنند. سرورهای SMB برای اتصال به دیگر محصولات AV توسط مایکروسافت تاسیس شده تا فایلهای مورد نیاز سیستم اجرایی Windows Defender را تحت پوشش قرار دهد. در هر صورت تروجان شناسایی شده پیش از شناسایی ویندوز دفندر به سرورهای SMB ارتباط برقرار میکند و در اجرای اسکن اختلال ایجاد میکند.
در واقع محققان میگویند، از آنجایی که سرورهای SMB میتوانند تقاضای بین دو درخواست را تشخیص دهند، مهاجمان میتوانند از دو فایل مختلف ارتباط را برقرار کرده و در مرحله اول فایل مخرب را بارگذاری کنند و در مرحله دوم فایل تمیز را در اختیار اسکن Windows Defender دهند و در نتیجه هنگامی که آنتیویروس مشغول بازبینی است، توسط ویندوز PE Loader تروجان اجرا میشود.
محققان امنیتی CyberArk این مراحل را به مایکروسافت گزارش داده و آنها در جواب اشاره کردند، این یک مورد امنیتی نبوده و برای مشخص کردن اینکه چه درخواستی از چه فرایندی می آید، مهاجم باید پروتکل SMB را برای ایجاد "شبه سرور" به منظور تمایز بین دو درخواست ایجاد کند. اما در هر صورت در خواست بازبینی سرورهای SMB به مهندسین فرستاده شد.
منبع WccFtech
به نقل از سخت افزار