多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

几款常见的反病毒软件中曝出存在一种可让攻击者利用隔离区来提升恶意软件权限的问题,涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他厂商的反病毒软件也有可能受到影响。

攻击利用方法

攻击者如果侵入了计算机系统,他们总是会想要提权来获取机密数据,并自如地穿梭在网络中之中。近日,信息安全审计员 Florian Bogner 发现了一种全新的提权方法:利用反病毒软件的隔离区特性。这种攻击方法 AVGater 的具体实现,组合利用了几个反病毒软件的设计漏洞和已知技巧。

按照 Bogner 的说法,这个攻击首先使用恶意 DLL 文件放入防病毒软件的隔离区。然后攻击者可以利用安全软件的 Windows 进程(SYSTEM权限)来修复这个文件。但毕竟是恶意文件,它并不会回到原始路径下,而是能够移动到操作系统的特权区域——比如 Program Files 或者 Windows 文件夹中——这样这个恶意文件就不会被低权限的用户处理掉。

一旦恶意 DLL 文件移动到了目标文件夹中,与该文件夹所关联的 Windows 进程自然就会执行相关的工作,恶意 DLL 就这样会被执行。

及时更新反病毒软件产品

据了解,目前这个漏洞会影响趋势科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒软件。其他厂商的反病毒软件也有可能受到影响(在修复程序放出之前并不会公开这些厂商的名字)。

想要了解具体的内容,可以参考 Bogner 发布的两篇博客:他针对这个问题分别为Emsisoft 以及 Malwarebytes 厂商的反病毒软件进行了剖析。你可以看到他是如何从攻击者视角进行分析,放置恶意DLL文件和提权。

所以说,安全产品也和其他软件产品一样,都会存在漏洞和问题,可能被其他目的的人利用。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Debian社区

U盘启动的 UEFI 版和装机版有什么区别

目前出现U盘启动盘制作工具,一般有两个版本装机版和 UEFI 版本。大家可能不知所措,不知道究竟该下载哪个版本使用了?

632
来自专栏FreeBuf

走进科学:银行ATM机真的安全吗?

作者 Black-Hole 注:本文提到的安全测试方法禁止非法利用,任何非法用途带来的后果责任自负。 0×01 引子 好吧,想在银行边进行渗透测试,边拍照的,但...

2415
来自专栏区块链

什么是安全漏洞,黑客如何利用它攻击你?

你应该很清楚,软件中的安全漏洞或漏洞可能会导致你的计算机或网络遭到黑客攻击——换句话说,恶意的第三方将控制你的系统,安装恶意软件会窃取你的信息。 但是黑客究竟是...

2836
来自专栏FreeBuf

对“利比亚天蝎”网络间谍活动的分析调查(附样本下载)

利比亚的政权动荡和长期内战可能众所周知,但其网络间谍和黑客活动或许鲜为人知。在这篇报告中,我们将首次披露一例涉及利比亚的恶意软件网络攻击活动。 ? 概要 8月初...

2337
来自专栏腾讯大讲堂的专栏

【扩展阅读】流氓软件你造吗?

“流氓软件”是介于病毒和正规软件之间的软件,通俗地讲是指在使用电脑上网时,不断跳出的窗口让自己的鼠标无所适从;有时电脑浏览器被莫名修改增加了许多工作条,当用户打...

2138
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

1233
来自专栏小文博客

飞行堡垒fx50jk(gtx850m i5-4200h)直播装固态-小文’s blog

1552
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

3449
来自专栏魏艾斯博客www.vpsss.net

Sugarhosts 糖果主机洛杉矶 CN2 中美直连极速 VPS 安装 windows 系统过程及速度评测

1655
来自专栏安恒信息

[科普]保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

2824

扫码关注云+社区