新型“鬼钩”攻击可绕过Windows PatchGuard保护
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全6月24日讯 安全公司CyberArk的安全专家发现一种方法,通过英特尔CPU的新功能Processor Trace (Intel PT) 绕过Windows系统中的PatchGuard内核保护。借助这种方法,攻击者可以在此前被认为坚不可摧的系统上植入Rootkit。
Hook技术
Hook技术可以让攻击者控制操作系统或软件的运行方式。一些利用Hook的软件包括:安全解决方案应用程序、系统实用程序、编程工具(例如拦截、调试、扩展软件等)、恶意软件(例如Rootkit)等等。
但这种技术不属于提权或漏洞利用技术。该技术主要用于利用后场景,攻击者在这种场景中对资产具有控制权。因为恶意内核代码(Rootkit)通常希望在目标内创建并维持持久性,而隐秘技术发挥了重要作用。
PatchGuard官方的名称为内核补丁保护(KPP),是64位Windows系统的安全功能,旨在阻止第三方代码使用其它程序修改Windows内核。微软于2005年推出PatchGuard功能,该功能已经阻止了大多数Rootkit在64位Windows系统上运行。
“鬼钩”攻击利用英特尔PT功能
安全研究人员发布的 “鬼钩”(GhostHook)新技术能使用英特尔CPU的一项功能绕过PatchGuard。“鬼钩”技术可以为恶意攻击者或信息安全产品提供支持,从而控制设备上运行的任何代码。
研究人员表示,“鬼钩”仅针对运行英特尔Processor Trace(PT)的系统。PT是使用专用硬件捕获当前软件执行相关信息的英特尔CPU功能,以帮助调试操作,并检测恶意代码。
正常情况下,进入英特尔PT操作需要攻击者将恶意功能置入内核级代码,而PatchGuard一般会立即发现并阻止这种操作。
CyberArk的研究人员称,分配非常小的缓冲区处理英特尔PT数据包会导致CPU耗尽缓冲空间,并打开PMI处理器(PMI Handler)来管理溢出代码。但问题在于,PatchGuard不会监控PMI处理器,攻击者可能会趁机通过PMI处理器利用恶意代码修改内核操作。
攻击者通过这种方法神不知鬼不觉地修改Windows内核,并在64位Windows上嵌入RootKit。 “鬼钩”甚至会影响Windows 10。自微软2015年夏季推出Windows 10 以来,被证明有效的Rootkit其实很少。
微软拒绝修复“鬼钩”攻击媒介
CyberArk公司称已经向微软报告了“鬼钩”攻击,但微软拒绝发布安全更新。微软表示,可能会在定期漏洞修复周期内发布补丁,但不会将“鬼钩”作为漏洞看待。
微软表示,攻击者需要获得被感染设备的内核级访问权限才能执行“鬼钩”攻击。如果攻击者具备内核级访问权也可以执行其它恶意活动,用户首先应该防止攻击者获取内核级权限。
对于微软给予的答复,CyberArk反复强调,这种技术会绕过PatchGuard功能,为Rootkit打开一扇窗进入64位Windows系统,而不一定需要攻击者取得内核级访问权限。
真正的问题在于,攻击者可以利用这种技术在过去数年无法进入的平台上植入Rooktkit。
目前,从整个恶意软件市场来看,由于有PatchGuard为64位系统的安全保驾护航,针对64位Windows系统的恶意软件所占比例不到1%。
E安全推荐文章
官网:www.easyaq.com
2017年6月