WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Công cụ của Microsoft được dùng để tấn công các sản phẩm an ninh
Các nhà nghiên cứu Israel vừa phát hiện một kỹ thuật mới được những kẻ tấn công sử dụng để chiếm toàn quyền kiểm soát các sản phẩm an ninh.
Kiểu tấn công được gọi là “DoubleAgent” và có thể thực hiện thành công trên sản phẩm của một số nhà cung cấp như Avast, AVG, Bitdefender, Kaspersky, Malwarebytes, Symantec (Norton)…
Để tấn công, hacker lợi dụng Microsoft Application Verifier, một công cụ xác minh thời gian chạy (runtime) dành cho các mã không được quản lý, giúp nhà phát triển nhanh chóng tìm ra các lỗi lập trình tinh vi trong ứng dụng của mình.
Microsoft Application Verifier hoạt động bằng cách tải một tệp tin DLL vào tiến trình của ứng dụng đích dùng cho việc thử nghiệm runtime. Một khi được tạo ra, tệp DDL được thêm vào Windows Registry. Windows sau đó tự động đưa tệp DLL này vào tất cả các tiến trình với tên đã được đăng ký.
Việc này cho phép một malware thực thi bởi người dùng đặc quyền có thể đăng ký DLL độc hại cho một tiến trình liên kết với phần mềm diệt virus hoặc các sản phẩm an ninh endpoint khác.
Một khi malware tấn công một sản phẩm an ninh, nó có thể thực hiện các hoạt động có hại theo mệnh lệnh của kẻ tấn công, như thay đổi whitelist/blacklist và các chuỗi logic, cài đặt cửa hậu, lọc dữ liệu, lây lan malware đến các máy khác và mã hóa hoặc xóa file (ví dụ: ransomware).
Kiểu tấn công này khó để ngăn chặn vì mã độc được chèn vào tiến trình, kể cả sau khi hệ thống đã được reboot, cập nhật phần mềm hay cài lại sản phẩm đích
Tấn công DoubleAgent hoạt động trên tất cả các phiên bản của Windows, bao gồm cả Windows 10. Tuy nhiên, vì phương pháp này dựa trên một công cụ hợp pháp nên Microsoft chưa thể khắc phục được.
Các chuyên gia đã thực hiện một video miêu tả quá trình tấn công vào sản phẩm Norton:
Các hãng AV đã được thông báo về kiểu tấn công này nhưng mới chỉ có Malwarebytes và AVG phát hành bản vá lỗi.
Kiểu tấn công được gọi là “DoubleAgent” và có thể thực hiện thành công trên sản phẩm của một số nhà cung cấp như Avast, AVG, Bitdefender, Kaspersky, Malwarebytes, Symantec (Norton)…
Để tấn công, hacker lợi dụng Microsoft Application Verifier, một công cụ xác minh thời gian chạy (runtime) dành cho các mã không được quản lý, giúp nhà phát triển nhanh chóng tìm ra các lỗi lập trình tinh vi trong ứng dụng của mình.
Microsoft Application Verifier hoạt động bằng cách tải một tệp tin DLL vào tiến trình của ứng dụng đích dùng cho việc thử nghiệm runtime. Một khi được tạo ra, tệp DDL được thêm vào Windows Registry. Windows sau đó tự động đưa tệp DLL này vào tất cả các tiến trình với tên đã được đăng ký.
Việc này cho phép một malware thực thi bởi người dùng đặc quyền có thể đăng ký DLL độc hại cho một tiến trình liên kết với phần mềm diệt virus hoặc các sản phẩm an ninh endpoint khác.
Một khi malware tấn công một sản phẩm an ninh, nó có thể thực hiện các hoạt động có hại theo mệnh lệnh của kẻ tấn công, như thay đổi whitelist/blacklist và các chuỗi logic, cài đặt cửa hậu, lọc dữ liệu, lây lan malware đến các máy khác và mã hóa hoặc xóa file (ví dụ: ransomware).
Kiểu tấn công này khó để ngăn chặn vì mã độc được chèn vào tiến trình, kể cả sau khi hệ thống đã được reboot, cập nhật phần mềm hay cài lại sản phẩm đích
Tấn công DoubleAgent hoạt động trên tất cả các phiên bản của Windows, bao gồm cả Windows 10. Tuy nhiên, vì phương pháp này dựa trên một công cụ hợp pháp nên Microsoft chưa thể khắc phục được.
Các chuyên gia đã thực hiện một video miêu tả quá trình tấn công vào sản phẩm Norton:
Các hãng AV đã được thông báo về kiểu tấn công này nhưng mới chỉ có Malwarebytes và AVG phát hành bản vá lỗi.
Theo: SecurityWeek