研究人员披露了流行软件应用程序中的主要安全漏洞,这些漏洞可能会被滥用以禁用其保护和控制允许列表以恶意软件的名义执行恶意操作的应用程序使用此技巧绕过防病毒解决方案中的勒索软件防御。卢森堡大学和伦敦大学的学者详细介绍了这两次攻击https://dl.acm.org/doi/10.1145/3431286通过绕过防病毒程序提供的受保护文件夹功能(又名“剪切和鼠标”)来加密文件并通过模拟鼠标“点击”事件(又名“幽灵控制”)来禁用它们的实时保护。卢森堡大学安全、可靠性和信任跨学科中心首席科学家GabrieleLenzini教授说:“防病毒软件提供商始终提供高水平的安全性,它们是日常对抗黑客的重要组成部分。但他们现在正在与拥有越来越多资源和技术对策的黑客作斗争。换句话说,不仅恶意软件缓解软件中的漏洞允许未经授权的代码关闭其保护,防病毒供应商提供的受保护文件夹解决方案中的设计缺陷也可能被滥用勒索软件利用已配置的应用程序更改文件内容,授予对文件夹的写入权限并加密用户数据,或使用擦除软件完全破坏受害者的个人文件。受保护的文件夹允许用户指定需要额外保护层以防止破坏的文件夹软件,可能会阻止对pro的任何不安全访问受保护的文件夹。“少数列入白名单的应用程序被授予写入受保护文件夹的特权,”研究人员说。但是,列入白名单的应用程序本身并不能免受其他应用程序的滥用。因此,这种信任是不合理的,因为恶意软件可以通过使用白名单应用程序作为中介来对受保护的文件夹执行操作。研究人员设计的攻击场景表明,恶意代码可用于控制受信任的应用程序(如记事本)执行写入操作并加密存储在受保护文件夹中的受害者文件。为此,勒索软件会读取文件夹中的文件,在内存中对它们进行加密,然后将它们复制到系统剪贴板。之后,勒索软件启动记事本并用剪贴板数据覆盖文件夹内容。更糟糕的是,通过将Paint用作受信任的应用程序,研究人员发现上述攻击序列可用于用随机生成的图像覆盖用户的文件,从而永久损坏它们。另一方面,GhostControl攻击本身可能会造成严重后果,因为通过模拟在防病毒解决方案的用户界面上执行的合法用户操作来关闭实时恶意软件保护可能允许攻击者从他们的控制远程服务器上删除和执行任何流氓程序.在研究期间评估的29种防病毒解决方案中,有14种被发现容易受到GhostControl攻击,而所有29种经过测试的防病毒程序都被发现存在上述“剪切和鼠标”攻击的风险。研究人员没有透露受影响供应商的名称。如果有的话,这些发现提醒我们,明确设计用于保护数字资产免受恶意软件侵害的安全解决方案本身可能存在无法达到其目的的弱点。即使防病毒软件提供商继续加强防御,恶意软件作者也一直在通过规避和混淆策略偷偷越过这些障碍,更不用说使用对抗性输入通过中毒攻击绕过他们的行为检测了。“安全可组合性是安全工程中的一个众所周知的问题,”研究人员说。单独考虑时,呈现特定已知攻击面的组件在集成到系统中时确实会创建更广泛的攻击面。组件彼此之间以及与系统其余部分的交互创造了一种动态,攻击者也可以以设计者无法预见的方式与之交互。本文翻译自:https://thehackernews.com/2021/06/malware-can-use-this-trick-to-bypass.html
