HITCON：關閉X64防毒軟體 知名品牌無一倖免

在許多網路攻擊行動中，關閉防毒軟體是惡意程式入侵系統後第一件要務。在上周舉行的駭客年會，Chroot成員Kenny示範如何關閉x64版的防毒軟體。先繞過微軟的UAC（使用者存取控制）機制，接著繞過數位簽章檢查，最後防毒軟體完全失守。以市面上幾家知名防毒軟體做試驗對象，結果幾乎無一倖免。

現在仍是名研究生的Kenny，專注於Windows駭客攻擊手法與惡意程式分析。在這場演講中，他首先示範繞過微軟的UAC機制，不讓系統出現警示視窗。他利用「某些程式在執行時會自動賦予為管理者權限，而不觸動UAC」、「某些程式可建立特定元件物件(ComObject)且不會有UAC提示」等條件，撰寫一段程式碼新建一個IFileOperation Object，擁有管理員權限但不觸發UAC。

接著他利用某軟體在2011年被公布的漏洞（可任意寫入程式碼），加上正式簽章來繞過數位簽章的檢查。微軟在X64系統中有一PatchGuard機制，可禁止應用程式變更作業系統Kernel，微軟同時也提供一套Kernel 底下實作監控框架的API給各防毒業者，因此各家的核心自我保護手段都是用此API。

Kenny指出現在大多數防毒軟體儘管都有watchdog預警機制，可自動復活，但仍然可找到空檔。而PatchGuard原意是要防止木馬，但卻也對防毒軟體產生現制。這套攻擊手法雖是針對X64版的防毒軟體，對更早之前X86版不受影響。但重點是，不能再倚賴防毒軟體，企業應有全方位的防禦機制，或異常偵測，以及漏洞修補，才能減少被入侵的可能性。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=7570


更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309

※ 您也可以加入我們的 Twitter (資安專家-正新電腦) 隨時獲得最新訊息哦！    twitter.com/keypro_pronew