双面代理攻击:利用微软内置工具劫持网络安全产品

[复制链接]

下载APP可以快速和圈友联系

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
E平安3月22日讯 以色列收集平安技术公司Cybellum近期发现进犯者可以操纵一种新技术完全控制平安产物。

这类用于进犯活动的新技术被称为“双面代理”,据悉多家厂商的产物遭到影响,其中包括Avast、AVG、Avira、Bitdefender、趋向科技、赛门铁克(诺顿)、Comodo、ESET、F-Secure、卡巴斯基、Malwarebytes、迈克菲、Panda、Quick和Heat。但是Cybellum公司暗示只要少数几家受影响的厂商公布了补钉。

双面代理进犯:操纵微软内置工具劫持收集平安产物-1.jpg

进犯中触及微软利用法式考证法式 (Microsoft Application Verifier),这是一款可以帮助开辟职员找出在一般法式代码检测中难以发觉的毛病。这款工具由Windows XP推出,默许安装并在一切的操纵系统上启用。

这款工具会将一个所谓的“考证法式供给商DLL”下载到方针利用法式的进程中用于运转时候测试。一旦被建立,这个DLL就会被当做一个供给商DLL被某个特定进程增加到Windows注册表中。Windows随后会自动将DLL注入一切带有被注册称号的进程中。

Cybellum指出,这就答应特权用户履行恶意软件,以在防病毒或别的端点平安产物相关的进程中注册恶意DLL,并劫持代理。这类进犯方式对任何进程都晦气。某些平安产物试图庇护跟进程相关的注册密钥,但研讨职员已找到轻松绕过这个庇护办法的方式。

一旦恶意软件劫持了平安产物,就可以用于多种使命中,包括以进犯者身份履行恶意行为、变动白名单/黑名单和内部逻辑、安装后门、提取数据、将恶意软件传布到别的装备中,而且加密或删除文件(如勒索软件)。

遗憾的是这类进犯很难阻挡

Cybellum公司暗示这类进犯很难阻挡,即使是重启系统、更新软件或重装方针产物后恶意代码仍会被注入到进程中。

“双面代理”进犯是恶意软件升级为APT缺失的一环。这类进犯依靠于正当工具,其适用于一切的Windows版本,包括Windows 10以及其他架构,是以微软对此也力所不及。

Cybellum公司暗示随后将公布其他技术细节和PoC操纵代码,并已奉告一切受影响的杀毒厂商,但停止今朝只要Malwarebytes和AVG公布了补钉,别的趋向科技许诺于下周修复题目。Cybellum计划赐与厂商90天的时候确保他们的产物不受潜伏进犯的影响。

其中的一些受影响产物已被分派了 CVE编号,例如:

CVE-2019-6168 (Bitdefender);

CVE-2019-6417 (Avira);

CVE-2019-5567 (Avast);

CVE-2019-5566 (AVG) ;

CVE-2019-5565(趋向科技)。

除了修复计划外,Cybellum暗示此类进犯能经过受庇护进程阻止。这是微软在Windows 8.1中推出的反恶意软件办事办法。该公司暗示这类庇护办法今朝仅能在Windows Defender中实现。

E平安注:本文系E平安独家编译报道,转载请联系授权,并保存出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
温馨提示:
好向圈www.kuaixunai.com是一个专业经验分享交流平台,你可以在这里发布专业经验,也可以发布需求与服务,禁止带推广链接、联系方式、违法词等,违规将封禁账号。 下载好向圈客户端可以随时随地交流经验,也可以和圈友发起聊天成为好友哦!
回复

使用道具 举报

没找到任何评论,期待你打破沉寂

您需要登录后才可以回帖 登录 | 立即注册

本圈子积分规则