Zi 字媒體

安全公司Cybellum發現了一個新的零日攻擊，使得黑客可以使用存在於所有Windows版本中的漏洞來控制在Windows系統上運行的防病毒軟體，這個零日漏洞從Windows XP開始存在，一直延續到最新的Windows 10。該公司今天發布的博客中解釋說，大多數主要的防病毒解決方案都受到此漏洞的影響，包括Avast，AVG，Avira，Bitdefender，趨勢科技，Comodo，ESET，F-Secure，卡巴斯基，McAfee，熊貓和諾頓。漏洞利用這個零日漏洞被稱為DoubleAgent，該漏洞利用了微軟自己在Windows中提供的合法工具，並被命名為「Microsoft Application Verifier」（微軟應用程序驗證器），原本的目的為了幫助開發人員在應用程序中找到錯誤，該工具可以被劫持，用自定義驗證器替換標準驗證器，這使攻擊者能夠完全控制應用程序。之後，下一步是為屬於安全軟體的進程註冊一個受損害的DLL，從而為更多惡意活動打開門戶，例如安裝後門程序，添加排除，刪除文件或甚至以典型的勒索軟體進行攻擊，加密受害者文件。Cybellum表示已經通知了受影響的安全公司，但到目前為止，只有Malwarebytes和AVG發布了修復補丁。更糟糕的是，即使在用戶重新啟動系統或安裝修補程序和更新后，DoubleAgent也具有註冊代碼的功能，從而非常難以刪除惡意軟體。通過一種新的持久化技術，DoubleAgent繞過了AV，NGAV和其他反病毒解決方案，並且使攻擊者能夠在沒有時間限制的情況下執行攻擊。當惡意軟體劫持一款安全產品之後，攻擊者就能利用它做很多事情，比如讓安全產品做出如黑客行為般的惡意操作——修改白名單/黑名單或內部邏輯，下載後門，泄露數據，將惡意軟體傳播到其他機器上，加密/刪除文件（類似於勒索軟體）。