• 设为首页
  • 点击收藏
  • 手机APP
    手机扫一扫下载
    华域联盟APP
  • 关注官方公众号
    微信扫一扫关注
    华域联盟公众号

奇淫技巧!看我如何绕过Windows Defender并执行歹意代码

“windows defender hack”的图片搜索结果


写在前面的话


近期,研讨人员研讨出了一种能够绕过Windows Defender的新技术,这种技术将允许任何攻击者在一台Windows设备上运转恣意歹意软件。但更重要的是,微软方面却跟相关安全专家表示,他们并不以为这是一个安全问题,而且微软也不会处置这个存在于Windows Defender(Windows原生的反歹意软件维护产品)中的“安全问题”。


微软给出的回应


微软的技术担任人在接受Threatpost的记者采访时表示:

”我们曾经收到了研讨人员提交的安全报告,但是我们以为他们所描画的这种所谓的绕过技术在真正的用户场景下并不具备适用性。为了要胜利发起攻击,攻击者首先需求诈骗用户让他们手动同意系统从一个不受信任的远程地址运转未知代码。除此之外,目的用户还需求经过点击额外的正告提示框来给攻击者授予管理员权限。即便攻击者能够胜利地诈骗用户去完成这些手动操作,我们的Windows Defneder反病毒产品以及Windows Defender高级要挟维护依然能够检测到攻击者的进一步歹意操作。“


受影响的居然不只限于Windows Defender


简而言之,这种绕过技术的完成需求运用到一种自定义的内置SMB效劳器,然后诈骗Winodws Defender去扫描合法文件,但最终执行的却是另外的歹意代码,并经过这样的办法绕过Windows Defender

网络安全研讨团队CyberArk的首席安全专家Doron Naim以及网络安全部门的高级主管Kobi Ben Naim在接纳Threatpost的采访时表示,他们的这种攻击技术(取名为Illusion Gap攻击,细致技术完成请点击【这里】获取)还能够影响其他的商业版反病毒产品。

Ben Naim表示,攻击者应该会对这种攻击技术十分感兴味,由于他们将能够在攻击的第一阶段中运用这种技术来完成横向渗透或应用目的系统中的其他漏洞来发起进一步的攻击。


攻击剖析


首先,攻击者需求诈骗用户去执行一份托管在歹意SMB共享效劳器中的漏洞应用程序。攻击者能够在他们自定义的SMB共享目录中存听恣意的歹意文件(针对Windows PE Loader),这也是绕过OS的安全防护并最终执行歹意代码的必要步骤。当PE Loader创建了一个相关进程之后,它便会向SMB效劳器央求并执行效劳器返回的文件,而攻击者此时能够发送恣意的歹意文件。当Windows Defender尝试扫描该文件时,它所得到的是另一份完整不同的和发文件,而Windows Defender此时的扫描结果将会是“一切正常”。而接下来,PE Loader将会执行效劳器返回的歹意文件。

http://p3.qhimg.com/t0131e03b39b0c53984.png

为了进一步证明这个问题是Windows Defender的一种设计缺陷,Naim还补充说到:“当攻击者向SMB共享目录中上传了歹意文件之后,攻击者还能够控制文件能否去提示Windows Defender它将会运转。由于你能够控制SMB效劳器端,因而你就能够知道自己的文件能否胜利经过了Windows Defender的扫描。当坐在SMB效劳器旁边的攻击者发现目的主机中的Windows Defender想要读取他的文件时,他就能够提交另一份合法文件给Windows Defender,而不是刚才的歹意文件,最终在操作系统中真实运转的将会是歹意文件。”

Naim还表示,他们所开发出的脚本以至还能够向Windows Defender发送歹意央求并让其无法运转。

与此同时微软还在其发表的声明中表示,由于攻击者需求请求用户信任并运转来自不受信任的SMB共享效劳器的歹意文件,因而这不能算作是一种安全问题,它只是一种功用而已。而“攻击者能够向Windows Defender发送歹意央求并让其无法运转”这个问题曾经提交给了微软的技术团队,目前正在处置之中。

关于微软给出的这种说法,Ben Naim则以为:“这种说法简直是太可笑了。假如你开发了一款安全产品,那么这款产品的作用就是要维护用户的安全。假如你打算让每一个可执行程序在真正运转之前,都要经过你产品的扫描,而你此时又无法扫描这个文件的话,那么默许状况下你应该要阻止该文件的运转才对。这种处置流程关于任何一家反病毒厂商都是一样的,但为什么微软却不这样以为呢?微软的做法完整相反,而且即便是Windows Defender无法扫描目的文件时,它依然能够允许该文件执行。”


总结


CyberArk目前曾经将相关问题秘密披露给了其他的安全厂商,希望其他安全厂商对此问题予以注重。而且除了Windows Defender之外,市面上的确还有一些商业版的安全防护产品存在相似的安全问题。


分享到新浪微博

鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

粉丝8 阅读326 回复0
上一篇:
Linux 攻击面剖析与行为记载发布时间:2017-09-27
下一篇:
基于网络的入侵检测和入侵防御系统发布时间:2017-09-30
热门推荐
阅读排行榜

扫描微信二维码

关注华域联盟公众号

随时了解更新最新资讯

在线客服(服务时间 9:00~18:00)

在线QQ客服

电邮:admin@cnhackhy.com

Powered by 华域联盟! © 2015-2019

备案号:蒙ICP备17000689号-2蒙公网安备 15062202000105号中国互联网举报中心 Free counters!