Doubleagent làm cho phần mềm chống virus windows của bạn hoạt động như phần mềm độc hại

Mục lục:

Video: DoubleAgent Zero-Day Attacking Norton Antivirus 2024

Video: DoubleAgent Zero-Day Attacking Norton Antivirus 2024
Anonim

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng những kẻ tấn công có thể sử dụng công cụ Trình xác minh ứng dụng của Microsoft để tiếp quản các sản phẩm chống vi-rút khác nhau. Công ty bảo mật Cybellum có trụ sở ở Israel tuyên bố rằng một phương thức tấn công mới có tên DoubleAgent tận dụng các công cụ Windows được tạo để ngăn chặn các cuộc tấn công của virus - bao gồm McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo và ESET - và để chúng hoạt động như phần mềm độc hại.

Cybellum nói rằng cuộc tấn công DoubleAgent cũng có khả năng thỏa hiệp với các sản phẩm chống vi-rút khác. Phương pháp này hoạt động bằng cách thao tác Trình xác minh ứng dụng Microsoft, một hệ thống xác minh thời gian chạy có chức năng phát hiện lỗi và tăng cường bảo mật cho các chương trình Windows của bên thứ ba. Công cụ này được bao gồm trong Windows XP cho đến Windows 10.

Cách thức hoạt động của DoubleAgent

Cybellum giải thích cách thức hoạt động của DoubleAgent:

Các nhà nghiên cứu của chúng tôi đã phát hiện ra một khả năng của Trình xác minh ứng dụng không có giấy tờ cung cấp cho kẻ tấn công khả năng thay thế trình xác minh tiêu chuẩn bằng trình xác minh tùy chỉnh của riêng mình. Kẻ tấn công có thể sử dụng khả năng này để đưa trình xác minh tùy chỉnh vào bất kỳ ứng dụng nào. Khi trình xác minh tùy chỉnh đã được đưa vào, kẻ tấn công hiện có toàn quyền kiểm soát ứng dụng. Trình xác minh ứng dụng được tạo để tăng cường bảo mật ứng dụng bằng cách phát hiện và sửa lỗi và trớ trêu thay DoubleAgent sử dụng tính năng này để thực hiện các hoạt động độc hại.

Vấn đề không nằm ở Windows mà là ở các nhà cung cấp bảo mật cung cấp các sản phẩm chống vi-rút. Cybellum tuyên bố DoubleAgent có thể được sử dụng để tấn công các tổ chức sử dụng các chương trình chống vi-rút dễ bị tấn công. Malwarebytes, AVG và Trend Micro là một số nhà cung cấp đã khắc phục sự cố cho các sản phẩm tương ứng của họ. Windows Defender dường như là sản phẩm chống vi-rút duy nhất miễn nhiễm với DoubleAgent do sử dụng cơ chế Windows có tên là Protected Processes. Cơ chế bảo vệ các dịch vụ chống phần mềm độc hại chạy trong chế độ người dùng.

Giảm nhẹ

Microsoft cung cấp các quy trình được bảo vệ như một cách để cho phép tải mã được ký, đáng tin cậy. Do đó, kẻ tấn công không thể sử dụng DoubleAgent để chống lại phần mềm chống vi-rút ngay cả khi kẻ tấn công tìm thấy một kỹ thuật zero-day mới làm mã của nó. Một mã tấn công bằng chứng khái niệm hiện có sẵn trên GitHub, với sự giúp đỡ của Cybellum.

Doubleagent làm cho phần mềm chống virus windows của bạn hoạt động như phần mềm độc hại