华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

奇淫技巧!看我如何绕过Windows Defender并执行歹意代码

2017-9-30 20:09| 发布者: sterben| 查看: 157| 评论: 0

摘要: 写在前面的话 近期,研讨人员研讨出了一种能够绕过Windows Defender的新技术,这种技术将允许任何攻击者在一台Windows设备上运转恣意歹意软件。但更重要的是,微软方面却跟相关安全专家表示,他们并不以为这是一个 ...

“windows defender hack”的图片搜索结果


写在前面的话


近期,研讨人员研讨出了一种能够绕过Windows Defender的新技术,这种技术将允许任何攻击者在一台Windows设备上运转恣意歹意软件。但更重要的是,微软方面却跟相关安全专家表示,他们并不以为这是一个安全问题,而且微软也不会处置这个存在于Windows Defender(Windows原生的反歹意软件维护产品)中的“安全问题”。


微软给出的回应


微软的技术担任人在接受Threatpost的记者采访时表示:

”我们曾经收到了研讨人员提交的安全报告,但是我们以为他们所描画的这种所谓的绕过技术在真正的用户场景下并不具备适用性。为了要胜利发起攻击,攻击者首先需求诈骗用户让他们手动同意系统从一个不受信任的远程地址运转未知代码。除此之外,目的用户还需求经过点击额外的正告提示框来给攻击者授予管理员权限。即便攻击者能够胜利地诈骗用户去完成这些手动操作,我们的Windows Defneder反病毒产品以及Windows Defender高级要挟维护依然能够检测到攻击者的进一步歹意操作。“


受影响的居然不只限于Windows Defender


简而言之,这种绕过技术的完成需求运用到一种自定义的内置SMB效劳器,然后诈骗Winodws Defender去扫描合法文件,但最终执行的却是另外的歹意代码,并经过这样的办法绕过Windows Defender

网络安全研讨团队CyberArk的首席安全专家Doron Naim以及网络安全部门的高级主管Kobi Ben Naim在接纳Threatpost的采访时表示,他们的这种攻击技术(取名为Illusion Gap攻击,细致技术完成请点击【这里】获取)还能够影响其他的商业版反病毒产品。

Ben Naim表示,攻击者应该会对这种攻击技术十分感兴味,由于他们将能够在攻击的第一阶段中运用这种技术来完成横向渗透或应用目的系统中的其他漏洞来发起进一步的攻击。


攻击剖析


首先,攻击者需求诈骗用户去执行一份托管在歹意SMB共享效劳器中的漏洞应用程序。攻击者能够在他们自定义的SMB共享目录中存听恣意的歹意文件(针对Windows PE Loader),这也是绕过OS的安全防护并最终执行歹意代码的必要步骤。当PE Loader创建了一个相关进程之后,它便会向SMB效劳器央求并执行效劳器返回的文件,而攻击者此时能够发送恣意的歹意文件。当Windows Defender尝试扫描该文件时,它所得到的是另一份完整不同的和发文件,而Windows Defender此时的扫描结果将会是“一切正常”。而接下来,PE Loader将会执行效劳器返回的歹意文件。

http://p3.qhimg.com/t0131e03b39b0c53984.png

为了进一步证明这个问题是Windows Defender的一种设计缺陷,Naim还补充说到:“当攻击者向SMB共享目录中上传了歹意文件之后,攻击者还能够控制文件能否去提示Windows Defender它将会运转。由于你能够控制SMB效劳器端,因而你就能够知道自己的文件能否胜利经过了Windows Defender的扫描。当坐在SMB效劳器旁边的攻击者发现目的主机中的Windows Defender想要读取他的文件时,他就能够提交另一份合法文件给Windows Defender,而不是刚才的歹意文件,最终在操作系统中真实运转的将会是歹意文件。”

Naim还表示,他们所开发出的脚本以至还能够向Windows Defender发送歹意央求并让其无法运转。

与此同时微软还在其发表的声明中表示,由于攻击者需求请求用户信任并运转来自不受信任的SMB共享效劳器的歹意文件,因而这不能算作是一种安全问题,它只是一种功用而已。而“攻击者能够向Windows Defender发送歹意央求并让其无法运转”这个问题曾经提交给了微软的技术团队,目前正在处置之中。

关于微软给出的这种说法,Ben Naim则以为:“这种说法简直是太可笑了。假如你开发了一款安全产品,那么这款产品的作用就是要维护用户的安全。假如你打算让每一个可执行程序在真正运转之前,都要经过你产品的扫描,而你此时又无法扫描这个文件的话,那么默许状况下你应该要阻止该文件的运转才对。这种处置流程关于任何一家反病毒厂商都是一样的,但为什么微软却不这样以为呢?微软的做法完整相反,而且即便是Windows Defender无法扫描目的文件时,它依然能够允许该文件执行。”


总结


CyberArk目前曾经将相关问题秘密披露给了其他的安全厂商,希望其他安全厂商对此问题予以注重。而且除了Windows Defender之外,市面上的确还有一些商业版的安全防护产品存在相似的安全问题。



鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 针对新型POS机歹意软件Troj
  • 网站权限的安全配置
  • 基于网络的入侵检测和入侵
  • 奇淫技巧!看我如何绕过Win
  • Linux 攻击面剖析与行为记
  • 重磅!一种歹意软件绕过杀软

图文热点

重磅!一种歹意软件绕过杀软的新办法
重磅!一种歹意软件
前言随着越来越多的网络攻击、数据库漏洞、特务软件以
供给链幽魂再现:CCleaner软件攻击剖析报告
供给链幽魂再现:CC
概述近日,360安全中心检测到盛行系统优化软件CCleane
隔空盗刷NFC信誉卡 2017 HACKPWN最吸“金”的破解秀
隔空盗刷NFC信誉卡
前言具备NFC(闪付)功用的各种卡片越来越多,很多人
安全研讨人员披露D-Link路由器漏洞
安全研讨人员披露D-
研讨员透露几个补丁的细节影响友讯科技dir - 850 l路
Apache Struts2 Freemarker标签远程执行漏洞剖析和复现
Apache Struts2 Fre
2017年9月7日,Struts官方发布一个中危的安全漏洞,该

GMT+8, 2017-11-22 19:16 , Processed in 0.171875 second(s), 31 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2