在許多網路攻擊行動中,關閉防毒軟體是惡意程式入侵系統後第一件要務。在上周舉行的駭客年會,Chroot成員Kenny示範如何關閉x64版的防毒軟體。先繞過微軟的UAC(使用者存取控制)機制,接著繞過數位簽章檢查,最後防毒軟體完全失守。以市面上幾家知名防毒軟體做試驗對象,結果幾乎無一倖免。
現在仍是名研究生的Kenny,專注於Windows駭客攻擊手法與惡意程式分析。在這場演講中,他首先示範繞過微軟的UAC機制,不讓系統出現警示視窗。他利用「某些程式在執行時會自動賦予為管理者權限,而不觸動UAC」、「某些程式可建立特定元件物件(ComObject)且不會有UAC提示」等條件,撰寫一段程式碼新建一個IFileOperation Object,擁有管理員權限但不觸發UAC。
接著他利用某軟體在2011年被公布的漏洞(可任意寫入程式碼),加上正式簽章來繞過數位簽章的檢查。微軟在X64系統中有一PatchGuard機制,可禁止應用程式變更作業系統Kernel,微軟同時也提供一套Kernel 底下實作監控框架的API給各防毒業者,因此各家的核心自我保護手段都是用此API。
Kenny指出現在大多數防毒軟體儘管都有watchdog預警機制,可自動復活,但仍然可找到空檔。而PatchGuard原意是要防止木馬,但卻也對防毒軟體產生現制。這套攻擊手法雖是針對X64版的防毒軟體,對更早之前X86版不受影響。但重點是,不能再倚賴防毒軟體,企業應有全方位的防禦機制,或異常偵測,以及漏洞修補,才能減少被入侵的可能性。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7570
SafeNet資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
