多款杀毒引擎中存在设计缺陷 导致恶意软件感染系统
翻译:360代码卫士团队
奥地利网络安全公司Kapsch的安全审计员Florian Bogner发现多款杀毒产品存在一个设计缺陷AVGater,它可导致恶意软件或本地攻击者滥用“从隔离区恢复”功能将此前检测到的恶意软件发送到用户操作系统的敏感区域,从而导致恶意软件提升权限获得持续性启动。
某些杀毒厂商发布补丁
Bogner表示已通知经测试后发现易受攻击的所有杀毒厂商。一些公司发布更新后他公布了自己的研究成果。
已发布补丁的厂商包括趋势科技、Emsisoft、卡巴斯基实验室、Malwarebytes、Ikarus和Check Point公司旗下的Zone Alarm。他表示其它公司将会在几天内发布补丁,且他并不排除其它未测试的杀毒引擎也易受攻击的情况。
AVGater的运行机制
要理解这个缺陷的运行机制,可参考如下的利用成功的场景:
1. 用户受恶意软件感染。
2. 杀毒引擎检测到恶意软件。
3. 杀毒引擎将恶意软件迁移到隔离区。
4. 拥有非管理员权限的本地攻击者在受感染系统上运行利用代码。该利用代码通过NTFS目录连接控制被隔离样本的原始文件位置。
5. 攻击者初始化“从隔离区恢复”的操作。
6. 受感染文件被发送回其位置,而NTFS连接将这个文件中继给C:\Windows 中的一个敏感文件夹。非管理员用户无法复制这个文件夹中的文件,但杀毒程序在SYSTEM权限下运行,也就是说从隔离区恢复的文件会在不触发错误或警告信息的情况下被发送到这个文件夹。
7. 由于某些Windows服务或核心进程旨在加载/运行所有存储在具体Windows目录中的所有DLL,当用户下次重启计算机时,此前隔离的文件会作为一个Windows服务或白名单app的一部分在启动时运行。
整个攻击非常狡猾,能同时达到持续启动和提升权限这两个目标,不过它依然需要攻击者物理接近机器,这在多数情况下都是一个严格的限制条件。
尽管如此,在一些场景下,AVGater是能发挥作用的。例如在用户共享计算机的共享办公室、教育或政府环境中,在Windows系统的ATM机上等。
Bogner发布了利用Emsisoft和Malwarebytes杀毒引擎的PoC,他指出用户可通过更新杀毒产品的方式阻止AVGater,而在企业环境中,可通过不允许用户从隔离区恢复文件的方式阻止该攻击。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/antivirus-engine-design-flaw-helps-malware-sink-its-teeth-into-your-system/