查看原文
其他

BoundHook:利用CPU攻击Windows的新技术

2017-10-20 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全10月20日讯 CyberArk实验室的研究人员开发一种入侵后技术,将其命名为“BoundHook”,攻击者可利用自英特尔第六代微处理器架构Skylake以来推出的所有英特尔芯片MPX功能(内存保护扩展功能)Hook软件组件之间传递的函数调用,这样一来,攻击者便可操控并监控大量Windows应用程序。借助这种技术,攻击者可从任何进程执行代码,躲避反病毒软件以及其它安全检测。

hook是Windows提供的一种消息处理机制,它使得程序员可以使用子过程来监视系统消息,并在消息到达目标过程前得到处理。

BoundHook如何监控Windows应用程序?


CyberArk的安全研究人员Kasif Dekel(卡瑟夫·德克尔)表示,利用Hook的软件包括:

  • 应用程序安全解决方案;

  • 系统实用程序;

  • 编程工具;

  • 恶意软件等等。

BoundHook攻击条件

Dekel表示,这种PoC攻击的先决条件得有支持MPX(Skylake或此后的架构)的英特尔CPU,同时还需运行Windows 10(64位或32位)系统。此外,攻击者还必须攻破目标系统。

CyberArk资深安全研究员Doron Naim(多伦·纳伊姆)表示,此类攻击的精妙之处在于攻击者可规避检测。

研究人员周三发布技术报告解释称,BoundHook技术能在用户模式下的指定内存位置引起异常。接下来,该技术能捕捉异常,并控制特定应用程序使用的线程执行,例如,通过该技术可拦截Windows和特定服务之间传递的键盘事件消息,从而捕捉或操控受害者的击键。

这种技术与GhostHook类似。GhostHook能通过英特尔Processor Trace功能绕过微软Windows 10的PatchGuard内核保护。GhostHook技术可绕过PatchGuard,通过Hook在内核层面控制设备。

BoundHook如何监控Windows应用程序?


微软和英特尔并不将GhostHook和BoundHook视为漏洞,他们均向CyberArk表示不会修复BoundHook问题,因为这类攻击要求攻击者完全攻破目标系统。

Naim表示,国家黑客可能会利用此类攻击。一些臭名昭著的针对性黑客入侵,例如Flame和Shamoon能轻易利用恶意软件在设备和网络上建立立足点,一旦有了立足点,攻击者不轻易被察觉。

CyberArk在博文中表示,即使BoundHook不符合微软界定漏洞的要求,他们也应当解决此类问题。微软回应研究人员称,其调查发现这并不是一个漏洞,而是设备被攻破时躲避检测的一种技术。

CyberArk的研究人员表示,管理员应当限制账号权限,最小化BoundHook攻击的横向渗透风险。Naim指出,之所以发布这项研究成果有两大目的:

  • 其一是引起关注,以便微软最终能解决这个问题。

  • 其二,研究人员希望强化终端用户保护管理员权限的意识,因为管理员权限受保护的情况下,用户便不会遭受BoundHook攻击。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1306678015.shtml

相关阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存