2013年8月5日 星期一

HITCON:關閉X64防毒軟體 知名品牌無一倖免

HITCON:關閉X64防毒軟體 知名品牌無一倖免

在許多網路攻擊行動中,關閉防毒軟體是惡意程式入侵系統後第一件要務。在上周舉行的駭客年會,Chroot成員Kenny示範如何關閉x64版的防毒軟體。先繞過微軟的UAC(使用者存取控制)機制,接著繞過數位簽章檢查,最後防毒軟體完全失守。以市面上幾家知名防毒軟體做試驗對象,結果幾乎無一倖免。

現在仍是名研究生的Kenny,專注於Windows駭客攻擊手法與惡意程式分析。在這場演講中,他首先示範繞過微軟的UAC機制,不讓系統出現警示視窗。他利用「某些程式在執行時會自動賦予為管理者權限,而不觸動UAC」、「某些程式可建立特定元件物件(ComObject)且不會有UAC提示」等條件,撰寫一段程式碼新建一個IFileOperation Object,擁有管理員權限但不觸發UAC。

接著他利用某軟體在2011年被公布的漏洞(可任意寫入程式碼),加上正式簽章來繞過數位簽章的檢查。微軟在X64系統中有一PatchGuard機制,可禁止應用程式變更作業系統Kernel,微軟同時也提供一套Kernel 底下實作監控框架的API給各防毒業者,因此各家的核心自我保護手段都是用此API。

Kenny指出現在大多數防毒軟體儘管都有watchdog預警機制,可自動復活,但仍然可找到空檔。而PatchGuard原意是要防止木馬,但卻也對防毒軟體產生現制。這套攻擊手法雖是針對X64版的防毒軟體,對更早之前X86版不受影響。但重點是,不能再倚賴防毒軟體,企業應有全方位的防禦機制,或異常偵測,以及漏洞修補,才能減少被入侵的可能性。

轉載自《資安人科技網》