殺毒軟體如何被反利用，為惡意軟體入侵系統敞開大門？

在大多數情況下，殺毒軟體可以為我們提供更為安全的網路環境。但是，你有沒有想過，殺毒軟體也可能會被反利用，為惡意軟體入侵系統敞開大門？

上周五，來自奧地利網路安全公司Kapsch的安全研究員Florian Bogner就發現，十多個品牌的殺毒軟體程序中存在一種設計漏洞，該漏洞允許那些已經在目標設備上獲得立足點的攻擊者獲取到設備的完整系統控制權。

研究人員將該漏洞利用標記為AVGater，攻擊者可以利用該漏洞，將已經放入殺毒軟體隔離區／恢復區的惡意軟體，重定位到受害者操作系統的敏感區域運行。

關於殺毒軟體隔離區／恢復區

恢復區是電腦內某些安全類軟體用來備份的區域。殺毒軟體恢復區的設置主要被用來暫存殺毒軟體判定為病毒木馬的文件，而不是直接刪除它們。因為，在我們使用一些文件時，一些殺毒軟體可能存在誤，導致這些文件被誤刪除。 「恢復區」的設置，允許我們在認定這些文件無害後，能夠快速地找到並還原它們。

遭到攻擊者濫用的AVGater漏洞

研究人員表示，攻擊者正是濫用殺毒軟體的這種恢復區功能，將殺毒程序之前檢測到並隔離的惡意軟體，移動到受害者操作系統的敏感區域，如C： Windows或C： Program Files。

Bogner表示，已經在發現漏洞的第一時間通知了受影響的殺毒軟體廠商。目前，已經有6家廠商在接到報告後修復了該漏洞，其餘的廠家至今還未解決該安全問題。

據Bogner介紹，他在受邀深入客戶網路的幾項任務中發現了一系列的AVGater漏洞。他說，

我可以使用惡意網路釣魚郵件感染員工的電腦，但是由於公司管理員將PC設置為『以有限的系統許可權運行』，因此Bogner的惡意軟體無法訪問密碼資料庫（安全帳戶管理器），該密碼資料庫中存儲了進入企業網路所需的憑據。但是，在AVGater漏洞的幫助下，我獲得了本地管理員許可權，在訪問憑證庫（通常稱為SAM資料庫）方面便不存在任何問題。因此可以說，AVGater在我們幾個測試和滲透任務中都起到了非常重要的作用。

AVGater工作原理

根據研究人員研究發現，AVGater漏洞的運行原理如下：

第一步：使用Bogner的惡意軟體感染目標計算機；n第二步：目標計算機上運行的殺毒軟體將檢測出惡意軟體，並將其轉移到「隔離區／恢復區」；n第三步：攻擊者利用殺毒軟體程序存在的漏洞，該漏洞允許非特權用戶恢復隔離的惡意文件。n隨後，攻擊者進一步使用一種名為「NTFS目錄連接」的Windows功能來操縱隔離樣本的原始文件位置，將惡意文件放入攻擊者選擇的特權目錄中（如C:Windows）；[object Object]n

需要注意的是，雖然非特權用戶原本不具備複製文件夾內文件的許可權，但是由於殺毒軟體在系統許可權下運行，所以攻擊者可以利用殺毒軟體從隔離區將惡意軟體轉移到該文件夾，且不會觸發警報；

此外，該技術還利用了另一種被稱為「動態鏈接庫」（DLL）搜索順序的Windows功能，所以，當受害者下次啟動計算機時，以前被隔離的文件將在啟動時作為Windows服務的一部分運行或列入白名單中，由此，Bogner的惡意軟體就擁有了完整的許可權。

受影響廠商

最開始，Bogner公司的研究人員發現了6個易受攻擊的殺毒軟體廠商，並向其報告了該安全問題，這些廠家分別包括：Emsisoft、Ikarus、Kaspersky、Malwarebytes、Trend Micro以及Zone Alarm等。

在接下來的一周內，Bogner公司又確認了其他7家存在同樣問題的殺毒軟體廠商。目前，該公司正在與這7家廠商合作，共同確認其產品究竟是如何受到了影響。為了給這些廠商提供修復時間，並防止漏洞被惡意利用，Bogner公司暫未公布這7家廠商的具體信息。

AVGater是攻擊者通過殺毒軟體實施攻擊的最新案例，但是其實，這種類型的安全問題在業界已經存在很長時間了，只是直到2005年的黑帽安全大會上，研究人員Alex Wheeler和Neel Mehta發表了一個名為「0wning Antivirus」的演講之後，該問題才開始引起廣泛關注，隨後，他們還在賽門鐵克、McAfee、TrendMicro以及F-Secure的殺毒產品中的發現了類似的重大安全問題。

殺毒軟體的問題在於，即使在沒有開啟的情況下也需要與各種文件進行交互，這也為攻擊者提供了一個重要的機會，尤其是在殺毒產品並沒有配置適當的安全沙箱、軟體模糊器以及類似的保護措施的情況下，更容易為攻擊者的攻擊活動敞開大門。例如，Microsoft的Windows Defender引擎中最近修復的一個錯誤，即使收件人沒有打開郵件，也允許通過簡單的電子郵件附件觸發代碼執行攻擊。

此事無疑是為殺毒軟體安全性敲響了警鐘！不過，幸運的是，目前的殺毒軟體提供商在處理此類問題方面還算迅速有效。更重要的是，殺毒軟體對於防止數以百萬計的計算機勒索軟體、鍵盤記錄器以及其他類型的惡意軟體感染方面還是具有非常重要的意義。

本文翻譯自：https://arstechnica.com/information-technology/2017/11/how-av-can-open-you-to-attacks-that-otherwise-wouldnt-be-possible/ ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8438.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：