BoundHook:利用CPU攻击Windows的新技术
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月20日讯 CyberArk实验室的研究人员开发一种入侵后技术,将其命名为“BoundHook”,攻击者可利用自英特尔第六代微处理器架构Skylake以来推出的所有英特尔芯片MPX功能(内存保护扩展功能)Hook软件组件之间传递的函数调用,这样一来,攻击者便可操控并监控大量Windows应用程序。借助这种技术,攻击者可从任何进程执行代码,躲避反病毒软件以及其它安全检测。
hook是Windows提供的一种消息处理机制,它使得程序员可以使用子过程来监视系统消息,并在消息到达目标过程前得到处理。
BoundHook如何监控Windows应用程序?
CyberArk的安全研究人员Kasif Dekel(卡瑟夫·德克尔)表示,利用Hook的软件包括:
应用程序安全解决方案;
系统实用程序;
编程工具;
恶意软件等等。
BoundHook攻击条件
Dekel表示,这种PoC攻击的先决条件得有支持MPX(Skylake或此后的架构)的英特尔CPU,同时还需运行Windows 10(64位或32位)系统。此外,攻击者还必须攻破目标系统。
CyberArk资深安全研究员Doron Naim(多伦·纳伊姆)表示,此类攻击的精妙之处在于攻击者可规避检测。
研究人员周三发布技术报告解释称,BoundHook技术能在用户模式下的指定内存位置引起异常。接下来,该技术能捕捉异常,并控制特定应用程序使用的线程执行,例如,通过该技术可拦截Windows和特定服务之间传递的键盘事件消息,从而捕捉或操控受害者的击键。
这种技术与GhostHook类似。GhostHook能通过英特尔Processor Trace功能绕过微软Windows 10的PatchGuard内核保护。GhostHook技术可绕过PatchGuard,通过Hook在内核层面控制设备。
BoundHook如何监控Windows应用程序?
微软和英特尔并不将GhostHook和BoundHook视为漏洞,他们均向CyberArk表示不会修复BoundHook问题,因为这类攻击要求攻击者完全攻破目标系统。
Naim表示,国家黑客可能会利用此类攻击。一些臭名昭著的针对性黑客入侵,例如Flame和Shamoon能轻易利用恶意软件在设备和网络上建立立足点,一旦有了立足点,攻击者不轻易被察觉。
CyberArk在博文中表示,即使BoundHook不符合微软界定漏洞的要求,他们也应当解决此类问题。微软回应研究人员称,其调查发现这并不是一个漏洞,而是设备被攻破时躲避检测的一种技术。
CyberArk的研究人员表示,管理员应当限制账号权限,最小化BoundHook攻击的横向渗透风险。Naim指出,之所以发布这项研究成果有两大目的:
其一是引起关注,以便微软最终能解决这个问题。
其二,研究人员希望强化终端用户保护管理员权限的意识,因为管理员权限受保护的情况下,用户便不会遭受BoundHook攻击。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1306678015.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容