E安全3月22日讯 以色列网络安全技术公司Cybellum近期发现攻击者能够利用一种新技术完全控制安全产品。
这种用于攻击活动的新技术被称为“双面代理”,据悉多家厂商的产品受到影响,其中包括Avast、AVG、Avira、Bitdefender、趋势科技、赛门铁克(诺顿)、Comodo、ESET、F-Secure、卡巴斯基、Malwarebytes、迈克菲、Panda、Quick和Heat。然而Cybellum公司表示只有少数几家受影响的厂商发布了补丁。
攻击中涉及微软应用程序验证程序 (Microsoft Application Verifier),这是一款可以帮助开发人员找出在正常程序代码检测中难以察觉的错误。这款工具由Windows XP推出,默认安装并在所有的操作系统上启用。
这款工具会将一个所谓的“验证程序提供商DLL”下载到目标应用程序的进程中用于运行时间测试。一旦被创建,这个DLL就会被当做一个提供商DLL为某个特定进程添加到Windows注册表中。Windows随后会自动将DLL注入所有带有被注册名称的进程中。
Cybellum公司指出,被权限用户执行的恶意软件能够为跟杀毒差评或其它端点安全产品相关的进程注册一个恶意DLL并劫持其代理。某些安全产品试图保护跟进程相关的注册密钥,但研究人员已找到轻松绕过这个保护措施的方法。
一旦恶意软件劫持了安全产品,就能够用于多种任务中,包括以攻击者身份执行恶意行为、更改白名单/黑名单和内部逻辑、安装后门、提取数据、将恶意软件传播到其它设备中,并且加密或删除文件(如勒索软件)。
遗憾的是这种攻击很难拦截
Cybellum公司表示这种攻击很难拦截,即使是重启系统、更新软件或重装目标产品后恶意代码仍会被注入到进程中。
“双面代理”攻击是恶意软件升级为APT缺失的一环。这种攻击依赖于合法工具,其适用于所有的Windows版本,包括Windows 10以及其他架构,因此微软对此也无能为力。
Cybellum公司表示随后将发布其余技术细节和PoC利用代码,并已告知所有受影响的杀毒厂商,但截至目前只有Malwarebytes和AVG发布了补丁,另外趋势科技承诺于下周修复问题。Cybellum计划给予厂商90天的时间确保他们的产品不受潜在攻击的影响。
其中的一些受影响产品已被分配了 CVE编号,例如:
CVE-2017-6168 (Bitdefender);
CVE-2017-6417 (Avira);
CVE-2017-5567 (Avast);
CVE-2017-5566 (AVG) ;
CVE-2017-5565(趋势科技)。
除了修复方案外,Cybellum表示此类攻击能通过受保护进程阻止。这是微软在Windows 8.1中推出的反恶意软件服务措施。该公司表示这种保护措施目前仅能在Windows Defender中实现。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论