吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10225|回复: 24
收起左侧

[转载] AVGater攻击:可滥用反病毒软件隔离功能提权,影响多家安全软件厂商产品

  [复制链接]
刘看山 发表于 2017-11-13 15:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
安全专家 Florian Bogner 近日设计了一种名为AVGater的攻击方法 ,可通过滥用某些杀毒软件的隔离功能来提升权限。涉及的反病毒软件厂商具体有趋势科技、Emisoft、卡巴斯基,Malwarebytes, Check Point (ZoneAlarm) 以及Ikarus ,其他厂商的反病毒软件也有可能受到影响。AVGater可通过滥用隔离功能感染系统并提权。


安全专家 Bogner 的表示,攻击者先通过引导杀毒软件软件将恶意 DLL 文件放入隔离区,然后攻击者利用软件 (具备 SYSTEM 权限)的 Windows 进程来恢复该文件。然而恶意 DLL 并不会被恢复到原始路径,而是进入操作系统执行特权的区域(如 Program Files 或 Windows 文件夹),而在此区域内低权限用户根本无法删除恶意文件。


“如果一个非特权用户能够操纵跨越安全边界的任何通信通道(”非特权用户模式到特权用户模式“或”特权用户模式到内核模式“),那么他将能够提升他的特权。”Bogner 表示,文件恢复过程通常由具备特权的杀毒软件执行,因此文件系统 ACL 是可以被规避的(因为它们并不真正指望 SYSTEM 用户权限)。这种类型的问题被称为特权文件写入漏洞,可用于在系统中的任何位置放置恶意 DLL。同时专家也强调,AVGater 漏洞只能是在“受影响系统可以恢复被隔离文件”的情况下被利用。


影响卡巴斯基、趋势科技等多家安全厂商产品研究人员表示,目前漏洞影响到来自 Emsisoft,卡巴斯基实验室,Malwarebytes,趋势科技,Check Point 和 Ikarus 的反病毒软件,其他厂商的反病毒解决方案也会受到影响,但考虑到问题严重性目前不便透露这些厂商的名称。
安全专家 Bogner 目前仅发表了针对 Emsisoft 和 Malwarebytes 反病毒软件的 AVGater 攻击详细分析报告 ,Emsisoft 和 Malwarebytes 官方也已在一周内发布了安全补丁。用户应尽快留意安全厂商发布的相关信息并及时更新反病毒产品。详细报告内容:<#AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine>

免费评分

参与人数 9吾爱币 +7 热心值 +8 收起 理由
chunjie + 1 + 1 我很赞同!
whdfog + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
SomnusXZY + 1 + 1 谢谢@Thanks!
WYWZ + 1 这技巧很多年前就有吧,现在又翻出来了
godczj + 1 + 1 谢谢@Thanks!
snccwt + 1 + 1 谢谢@Thanks!
mlwy + 1 + 1 谢谢@Thanks!
oxxo119 + 1 我很赞同!
Looshoop + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

152a 发表于 2017-11-15 10:06
swani13 发表于 2017-11-15 08:45
杀毒软件都是只能查杀已经出现过的病毒,新病毒是不是查杀的,只能是出现后更新软件才有效

云技术对新文件很快就会做出反应的。云技术的本质就是虚拟机。虚拟机会很快做出反应。而且他对所有新文件通吃。对网络蠕虫来说安装防病毒软件意义也不大。因为蠕虫病毒的源头很可能也安装了杀毒软件。在虚拟机当中安装虚拟机防病毒也是可行的。在加上沙盘一类的虚拟机就能规避病毒风险。
其实只要改变病毒的编写方法。就可以跳过杀毒软件的查杀。使虚拟机失效。很多病毒的代码都是复制和粘贴出来的结果。没有什么新东西。象网络蠕虫这样的新东西。杀毒软件也无能为力。除非他们大范围的重写自己的虚拟机代码。
swani13 发表于 2017-11-15 08:45
杀毒软件都是只能查杀已经出现过的病毒,新病毒是不是查杀的,只能是出现后更新软件才有效
dengyangdong 发表于 2017-11-13 16:00
影视专业 发表于 2017-11-13 16:20
受教了,谢谢
linmartinluther 发表于 2017-11-13 16:22
往往都是病毒出现,杀毒软件随病毒出现对策,感谢楼主对于日常操作者提示!
keep_silent 发表于 2017-11-13 17:00
厉害了  受教了
cbras 发表于 2017-11-13 17:47
感谢分享 不过这个有点看不懂
疯狂醉虎 发表于 2017-11-13 19:03
感谢分享!
okays 发表于 2017-11-13 19:24
分析的好专业
tasg1981 发表于 2017-11-14 03:36
给你来个赞!
snccwt 发表于 2017-11-14 08:59
魔高一丈
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表