查看原文
其他

新型“鬼钩”攻击可绕过Windows PatchGuard保护

2017-06-24 E安全 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全6月24日讯 安全公司CyberArk的安全专家发现一种方法,通过英特尔CPU的新功能Processor Trace (Intel PT) 绕过Windows系统中的PatchGuard内核保护。借助这种方法,攻击者可以在此前被认为坚不可摧的系统上植入Rootkit。


Hook技术

Hook技术可以让攻击者控制操作系统或软件的运行方式。一些利用Hook的软件包括:安全解决方案应用程序、系统实用程序、编程工具(例如拦截、调试、扩展软件等)、恶意软件(例如Rootkit)等等。

但这种技术不属于提权或漏洞利用技术。该技术主要用于利用后场景,攻击者在这种场景中对资产具有控制权。因为恶意内核代码(Rootkit)通常希望在目标内创建并维持持久性,而隐秘技术发挥了重要作用。

Windows PatchGuard


PatchGuard官方的名称为内核补丁保护(KPP),是64位Windows系统的安全功能,旨在阻止第三方代码使用其它程序修改Windows内核。微软于2005年推出PatchGuard功能,该功能已经阻止了大多数Rootkit在64位Windows系统上运行。

“鬼钩”攻击利用英特尔PT功能

安全研究人员发布的 “鬼钩”(GhostHook)新技术能使用英特尔CPU的一项功能绕过PatchGuard。“鬼钩”技术可以为恶意攻击者或信息安全产品提供支持,从而控制设备上运行的任何代码。

研究人员表示,“鬼钩”仅针对运行英特尔Processor Trace(PT)的系统。PT是使用专用硬件捕获当前软件执行相关信息的英特尔CPU功能,以帮助调试操作,并检测恶意代码。

正常情况下,进入英特尔PT操作需要攻击者将恶意功能置入内核级代码,而PatchGuard一般会立即发现并阻止这种操作。

CyberArk的研究人员称,分配非常小的缓冲区处理英特尔PT数据包会导致CPU耗尽缓冲空间,并打开PMI处理器(PMI Handler)来管理溢出代码。但问题在于,PatchGuard不会监控PMI处理器,攻击者可能会趁机通过PMI处理器利用恶意代码修改内核操作。

攻击者通过这种方法神不知鬼不觉地修改Windows内核,并在64位Windows上嵌入RootKit。 “鬼钩”甚至会影响Windows 10。自微软2015年夏季推出Windows 10 以来,被证明有效的Rootkit其实很少。

微软拒绝修复“鬼钩”攻击媒介

CyberArk公司称已经向微软报告了“鬼钩”攻击,但微软拒绝发布安全更新。微软表示,可能会在定期漏洞修复周期内发布补丁,但不会将“鬼钩”作为漏洞看待。

微软表示,攻击者需要获得被感染设备的内核级访问权限才能执行“鬼钩”攻击。如果攻击者具备内核级访问权也可以执行其它恶意活动,用户首先应该防止攻击者获取内核级权限。

对于微软给予的答复,CyberArk反复强调,这种技术会绕过PatchGuard功能,为Rootkit打开一扇窗进入64位Windows系统,而不一定需要攻击者取得内核级访问权限。

真正的问题在于,攻击者可以利用这种技术在过去数年无法进入的平台上植入Rooktkit。

目前,从整个恶意软件市场来看,由于有PatchGuard为64位系统的安全保驾护航,针对64位Windows系统的恶意软件所占比例不到1%。

24
E安全推荐文章

官网:www.easyaq.com

2017年6月

01研究人员利用应用程序路径绕过Windows 10中的UAC机制
02CIA泄露的恶意间谍软件“雅典娜”威胁所有Windows版本
03CIA Vault 7第四波:蝗虫来袭,微软Windows寸草不生【附下载】
04代码注入新技术“AtomBombing”影响所有Windows版本
05维基解密:CIA利用“野蛮袋鼠”渗透封闭网络
06如何在一分钟内用CMD劫持Windows帐户?
07Windows 10偷偷上传用户击键记录至微软服务器

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存