Matousec報告:黑客攻擊打敗多數殺軟
安全研究公司Matousec發布報告,詳細說明黑客如何用一種攻擊技巧,成功躲避 Windows安全軟件的偵測,包括McAfee和趨勢科技(Trend Micro)知名的殺毒軟件。
不過,Matousec承認,這種攻擊技 術有重大的限制,例如必須先取得在一部系統上執行程序代碼的能力。換句話說,這套方法必須同時搭配另一種攻擊手法(attack vector),或是由具有某部系統本機存取權限的黑客來執行。
這套方法稱為"argument-switch"攻擊,可用來攻擊采用SSDT(System Service Descriptor Table) hooking技術的Windows安全程序。Matousec測試的35種應用軟件都采用這種技術,包括BitDefender、F-Secure、 Kaspersky、Sophos、McAfee和趨勢科技的產品在內。
Matousec在公布的一份研究報告中說:我們測試了普遍使用的安全軟件,發現它們全都有漏洞。今天大多數受歡迎的安全解決方案根本不管用。
SSDT hooking被眾多殺毒軟件采用,作為偵測和攔阻攻擊機制的一部分。此技巧涉及修改SSDT的目錄。本公司的研究聚焦于核心(kernel)模式的 hook,不過,這種攻擊對使用者模式的hook也有效。
Matousec說:結果可用一句話總結:如果某項產品使用SSDT hook,或在類似層級采用另一種核心模式的hook,來落實安全功能,那么它就有漏洞。
該公司研究員指出,有些殺毒產品并不使用上述的技巧,例如Immunet。
Matousec說,攻擊者利用一種稱為競賽情況(race condition)的軟件瑕疵(bug);在這種情況下,兩條執行緒(thread)爭相存取共用的資源,造成程序邏輯出錯。攻擊者利用這種瑕疵,讓殺毒軟件誤以為它允許執行的是無害的程序代碼,但其實卻是惡意程序。
這種回避手法的成功率并非百分之百。不過,Matousec指出,如果某部系統跑多重處理器或多核心處理器,那么這種攻擊就更容易成功。
該公司表示,今天,多重處理器或多核心處理器在臺式機很常見,而攻擊即使通過有限的使用者帳號權限,也能得逞。
測試是在采用32位硬件的Windows XP SP3和Windows Vista SP1系統上執行。但Matousec說,所有的Windows版本都可能有漏洞,連Windows 7也不例外。
Matousec呼吁殺毒軟件公司改善運用kernel hook的方式,并自稱已研究出怎么做的方法,但這套方法尚未公開發表。
該公司說:改善kernel hook的安全性,對安全軟件廠商可能是相當復雜的任務,特別是對軟件運用大量SSDT和其他類型hook的廠商而言。
【編輯推薦】
