这个名为“双面间谍”的攻击手法 竟然可把杀软变成恶意软件

被称为“双面间谍”的零日攻击可接管Windows主机上的杀毒软件,并将之转变为能够加密文件索要赎金、渗漏数据或格式化硬盘的恶意软件。

从2001年推出的XP到2015年推出的 Windows 10,有一个功能始终延续。正是在此功能基础上,该攻击得以对安全厂商Cybellum测试的所有14家厂商杀软产品都有效,而且对机器上运行的其他进程也有效。

“双面间谍”目前仅被Cybellum发现,尚无野生漏洞利用出现。

“已向所有主要厂商报告了该攻击,厂商认可了漏洞的存在,目前正在寻找解决方案,准备发布补丁。”

遵守负责任漏洞披露标准,早在90天前,通告就已发向厂商,给厂商留了修复时间。

被通知的14家杀软厂商中,有2家已经采取措施处理该问题了——AVG和Malwarebytes。其他12家被通知的厂商是:Avast、小红伞、Bitdefender、趋势科技、Comodo、ESET、F-Secure、卡巴斯基、迈克菲、熊猫、Quick Heal和诺顿。

Cybellum表示,杀软平台没有明显缺陷;DLL可以被插入任意进程。选择它们做测试攻击,仅仅因为这些杀软进程被计算机上其他应用(包括其他安全软件)所信任,是很有效的攻击界面。

杀软是我们可以做的最重要攻击。如果你攻击某家公司,不仅仅是消费者,整家公司都可以被完全接管。没有其他安全防护会去检查杀软。这一整堆安全产品都可以一次性绕过。

AVG和Malwarebytes采用的权变措施涉及修复杀软,让杀软检查试图写入杀软注册表的任意进程并封锁之。

“杀软存在内核,有驱动可以查看几乎所有东西。”

同时,公司企业可以尝试加强对下载的关注,防止“双面间谍”进入主机。

Cybellum称,3年前,微软提出了“受保护进程”的新设计理念供杀软厂商使用,就是专门用来保护杀毒软件的。厂商可以编写自己的平台,以便可被认为是仅允许可信签名代码加载的受保护进程。这样便可防住代码注入攻击了,包括“双面间谍”。

“双面间谍”利用了微软应用程序验证工具的一个怪癖。该工具检测并修复原生应用程序中的漏洞,方法是通过在运行时加载到应用程序中的“验证器提供者DLL”。

微软应用程序验证工具允许创建新的验证器DLL,还可以用一组键值在注册表中进行注册。

一旦DLL被注册成某进程的验证器提供者DLL,该DLL就会在进程每次启动时,被Windows加载器注射到该进程中,即便系统重启/更新/重装/打补丁之后都如此。

换句话说,该DLL成功驻留了。

该漏洞实际上就是微软应用程序验证工具的未公开功能,也是Windows内核的一部分。所以,短期内是不太可能移除的。

该攻击甚至脚本小子级别的初级黑客都能执行。攻击代码可直接从恶意网站下载,或者通过打开恶意附件加载。

本文转自d1net(转载)

时间: 2024-10-11 10:50:44

这个名为“双面间谍”的攻击手法 竟然可把杀软变成恶意软件的相关文章

他用10年前的攻击手法感染了17000多名开发者的电脑

大约10年前,有种名为Typosquatting的古老攻击手法--国内有将之翻译成"误植域名"的.这个词的前半部分"Typo"意思是排版错误,其实已经表达了这种攻击手法的内涵.举个例子:黑客可能会去注册像appple.com.taobaoo.com这样的域名,如果用户手误多输一个字幕,就会访问到这样的网站--这些网站还会模仿原网站,也就可以起到钓鱼的作用了. 所以Typosquatting如果要分类的话,大概是可以划归到钓鱼攻击中去的.不过这类攻击手法主要是寄希望于

如何从日志文件溯源出攻击手法?

本文讲的是如何从日志文件溯源出攻击手法?,如果想要查清系统遭到黑客入侵的原因或漏洞,通过日志查找是一种很好的方法.日志文件是由服务器提供的非常有价值的信息.几乎所有的服务器,服务和应用程序都提供某种日志记录.但是什么是日志文件?日志文件是记录服务或应用程序运行期间发生的事件和操作. 那么为什么日志文件如此重要?日志文件为我们提供了服务器行为的精确视图,以及有关正在访问服务器的时间,方式和"由谁"的关键信息.这种信息可以帮助我们监控性能,排除故障和调试应用程序,以及日志可以帮助取证调查人

可怕云端中间人攻击手法:你的云端硬碟其实是骇客的!

资安公司Imperva在黑帽骇客大会上展示云端中间人攻击手法,让骇客不用破解密码.不用攻击程式,也不用撰写伺服器端的程式码,即可存取用户Google Drive.Box.微软及Dropbox上的档案,达成窃取资料或进行其他攻击的目的. Imperva在其报告中详细解释,「云端中间人」(man-in-the-cloud, MIIC)攻击是利用云端储存服务的档案同步化机制.档案同步化的原理是利用同步化软体与储存在装置上的同步化权杖(synchronization token)完成使用者身份验证,使本

搜索引擎毒化是黑客热门攻击手法

摘要: 根据趋势科技TrendLabs一月至三月所搜集到的数据显示,搜索引擎毒化(SEO)技巧在2010年第一季度仍旧是亚洲地区最盛行的攻击手法.亚太地区恶意程序感染计算机的途径,依然是以互联 根据趋势科技TrendLabs一月至三月所搜集到的数据显示,搜索引擎毒化(SEO)技巧在2010年第一季度仍旧是亚洲地区最盛行的攻击手法.亚太地区恶意程序感染计算机的途径,依然是以互联网下载.其它恶意程序植入以及可卸除式磁盘为主. 虽然Blackhat SEO搜索引擎毒化并非全新的技巧,但是这种利用热门时

一种新型攻击手法:供应链攻击

本文讲的是 一种新型攻击手法:供应链攻击,Positive Technologies 揭示:今年早些时候将行动扩张至美国后,金钱驱动的"Cobalt"网络犯罪团伙改变了战术,如今采用供应链攻击对公司企业的合作伙伴下手. Cobalt在2016年被发现,目前全球范围内活跃,可快速应对银行的保护措施,其对公司员工基础设施和账户的恶意使用就是明证.研究人员称,为诱骗接受者打开来自非法域名的网络钓鱼邮件,该团伙还会使用安全监管机构的名号. 该组织的目标是银行.金融交易所.保险公司.投资基金和其

一种新型攻击手法:监听WIFI变化嗅探手机输入

黑客可以通过观察无线WIFI信号变化,窃取到你的密码,PINs码和键盘快捷键等敏感信息. 来自上海交通大学.南佛罗里达大学.马塞诸塞州和波士顿大学的联合研究团队公布了他们研究的最新技术.该项技术仅需要搭建一个WIIF热点,即可分析无线电信号变化并窃取敏感信息. 这项技术被命名为WindTalker,这项攻击技术通过读取称为信道状态信息(CSI)的无线电信号模式,嗅探手机触屏变化或者电脑键盘按键运动. CSI是WIFI协议的一部分,它提供了WIFI信号状态信息. "攻击者可以利用CSI波动与击键之

网络最常见的攻击方式竟然是SQL注入

NTT研究表明,尽管SQL注入(SQLi)型攻击记录详尽且为人熟知,但目前网络应用程序仍然是SQLi攻击的重灾区. 信息安全和风险管理公司NTTCom Security发布的<2015全球智能威胁风险报告>表明,目前黑客攻击网络应用程序方式中最流行的,要数SQLi攻击.报告对去年发生的60亿攻击行为进行分析,指出SQLi攻击是最常见的网络应用程序攻击方式.全球网络应用程序攻击中,SQLi攻击占26%. SQLi攻击包括在可入侵的网站上输入恶意命令到URL和文本字段,通常是为了窃取数据库中存储的

知己知彼 黑客常用攻击手法大揭秘

最近一台被黑客控制的服务器被发现,上面包含了1.4GB从世界各地被感染计算机窃取来的企业和个人数据,其中包含众多银行帐号信息和5000多个大型金融机构的日志文件.为了更好的防护自己,我们需要了解黑客进行入侵和攻击的手法.安全业著名记者Davey Winder近日发表分析文章,从一个黑客的角度揭示了他们经常使用的技术. 黑客作为英雄的时代已经过去,今天多数黑客的目光都盯在了金钱上,其攻击的主要目标是商业公司的客户数据库.因为这些数据中包含了大量的信用卡信息.个人数据和其它有助于其窃取银行账号的信息

谷歌搜索藏病毒? 毒害SEO成常见攻击手法

2月6日,据外电报道,根据网络安全公司Websense今天公布的报告,网络不法份子以在部落格文章.聊天室.电子邮件和搜索网站等设陷,不正当地控制网络. 去年下半年的在线威胁分析显示,81%的电子邮件被用来传播恶意程序代码,部落格或聊天室论坛则有95%的文章,是垃圾讯息或前往猥亵"装载资料"(payloads)的连结. 毒害搜索引擎优化(SEO)是很常见的网络攻击手法,利用名人过世或重大灾害等热门话题,吸引网友连结至设计用来让计算机中毒的网站. Websense安全研究经理切尼特(Ste