多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

几款常见的反病毒软件中曝出存在一种可让攻击者利用隔离区来提升恶意软件权限的问题,涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 。其他厂商的反病毒软件也有可能受到影响。

攻击利用方法

攻击者如果侵入了计算机系统,他们总是会想要提权来获取机密数据,并自如地穿梭在网络中之中。近日,信息安全审计员 Florian Bogner 发现了一种全新的提权方法:利用反病毒软件的隔离区特性。这种攻击方法 AVGater 的具体实现,组合利用了几个反病毒软件的设计漏洞和已知技巧。

按照 Bogner 的说法,这个攻击首先使用恶意 DLL 文件放入防病毒软件的隔离区。然后攻击者可以利用安全软件的 Windows 进程(SYSTEM权限)来修复这个文件。但毕竟是恶意文件,它并不会回到原始路径下,而是能够移动到操作系统的特权区域——比如 Program Files 或者 Windows 文件夹中——这样这个恶意文件就不会被低权限的用户处理掉。

一旦恶意 DLL 文件移动到了目标文件夹中,与该文件夹所关联的 Windows 进程自然就会执行相关的工作,恶意 DLL 就这样会被执行。

及时更新反病毒软件产品

据了解,目前这个漏洞会影响趋势科技、Emsisoft, 卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus 的反病毒软件。其他厂商的反病毒软件也有可能受到影响(在修复程序放出之前并不会公开这些厂商的名字)。

想要了解具体的内容,可以参考 Bogner 发布的两篇博客:他针对这个问题分别为Emsisoft 以及 Malwarebytes 厂商的反病毒软件进行了剖析。你可以看到他是如何从攻击者视角进行分析,放置恶意DLL文件和提权。

所以说,安全产品也和其他软件产品一样,都会存在漏洞和问题,可能被其他目的的人利用。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏二次元

萌音云笔记平台

另外,由于博主剩下的时间不多了,很多计划中的功能便割舍了.....无奈╮(╯▽╰)╭ 好吧,一般我不喜欢介绍项目功能,你们自个发掘吧! 这可能是今年...

891
来自专栏安恒信息

[科普]保护WiFi无线网络安全

全球有超过四分之一的互联网用户在家使用WiFi上网,不过其中许多人并不清楚该如何保护家庭网络以及这样做的重要性。在这方面,最妥当的想法就是将您家中的WiFi网络...

2654
来自专栏区块链

什么是安全漏洞,黑客如何利用它攻击你?

你应该很清楚,软件中的安全漏洞或漏洞可能会导致你的计算机或网络遭到黑客攻击——换句话说,恶意的第三方将控制你的系统,安装恶意软件会窃取你的信息。 但是黑客究竟是...

2596
来自专栏张善友的专栏

检测常见ASP.NET配置安全漏洞

看到一篇国外MVP Troy Hunt的文章: 67% of ASP.NET websites have serious configuration relat...

2706
来自专栏魏艾斯博客www.vpsss.net

Sugarhosts 糖果主机洛杉矶 CN2 中美直连极速 VPS 安装 windows 系统过程及速度评测

1405
来自专栏字根中文校对软件

Apache CloudStack 4.5.2 新特性一览

     Apache CloudStack 4.5.2 新特性一览 ? CloudStack 4.5.2 相比前一个版本修复了大约 200 个Bug。   ...

2806
来自专栏腾讯大讲堂的专栏

【扩展阅读】流氓软件你造吗?

“流氓软件”是介于病毒和正规软件之间的软件,通俗地讲是指在使用电脑上网时,不断跳出的窗口让自己的鼠标无所适从;有时电脑浏览器被莫名修改增加了许多工作条,当用户打...

2068
来自专栏FreeBuf

新加坡新保集团(SingHealth)网络攻击事件的可疑线索分析

近期,安全公司 Trustwave 旗下 SpiderLabs 实验室发现了可能与新加坡新保集团(SingHealth)网络攻击相关的一些信息线索,在前一篇文章...

592
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

1013
来自专栏FreeBuf

ShadowBroker是这样放大招的:Windows零日利用工具更多数据呈现

北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70...

1977

扫码关注云+社区