来自以色列专门阻止0day漏洞的公司Cybellum发现攻击者能够利用一种新技术完全控制安全产品。
这种攻击被称为“双面代理”,据悉影响多家厂商的产品包括Avast、AVG、Avira、Bitdefender、趋势科技、Comodo、ESET、F-Secure、卡巴斯基、Malwarebytes、迈克菲、Panda、Quick Heat和赛门铁克(诺顿)。然而该公司表示只有几家受影响厂商发布了补丁。
攻击中设计微软应用程序验证程序 (Microsoft Application Verifier),它是一款帮助开发人员在应用程序中快速找出细微程序错误的未经管理代码的运行时间验证工具。这款工具由Windows XP推出,默认安装并在所有的操作系统上启用。
这款工具会将一个所谓的“验证程序提供商DLL”下载到目标应用程序的进程中用于运行时间测试。一旦被创建,这个DLL就会被当做一个提供商DLL为某个特定进程添加到Windows注册表中。Windows随后会自动将DLL注入所有带有被注册名称的进程中。
Cybellum公司指出,被权限用户执行的恶意软件能够为跟杀毒差评或其它端点安全产品相关的进程注册一个恶意DLL并劫持其代理。某些安全产品试图保护跟进程相关的注册密钥,但研究人员已找到轻松绕过这个保护措施的方法。
一旦恶意软件劫持了安全产品,就能够用于多种任务中,包括以攻击者身份执行恶意行为、更改白名单/黑名单和内部逻辑、安装后门、提取数据、将恶意软件传播到其它设备中,并且加密或删除文件(如勒索软件)。
Cybellum公司表示这种攻击很难拦截,因为即使是重启系统、更新软件或重装目标产品后恶意代码也会被注入到进程中。
这种攻击据悉适用于所有的Windows版本,包括Windows 10以及其他架构。然而,由于这种攻击依赖于合法工具,因此微软对此也无能为力。
Cybellum指出,“双面代理”攻击是恶意软件升级为APT的缺失的一环。公司表示随后将发布其余技术细节和PoC利用代码。该公司表示已经告知所有受影响的杀毒厂商,但截至目前只有Malwarebytes和AVG发布了补丁,趋势科技承诺于下周修复问题。Cybellum计划给予厂商90天的时间确保他们的产品不受潜在攻击的影响。
其中的一些受影响产品已被分配了 CVE编号,包括CVE-2017-6168 (Bitdefender)、CVE-2017-6417 (Avira)、CVE-2017-5567 (Avast)、CVE-2017-5566 (AVG) 和CVE-2017-5565(趋势科技)。
除了修复方案外,Cybellum表示此类攻击能通过受保护进程阻止。这是微软在Windows 8.1中推出的反恶意软件服务措施。该公司表示这种保护措施目前仅在Windows Defender中实现。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。