Doubleagent使您的Windows防病毒软件成为恶意软件

目录:

视频: therunofsummer 2024

视频: therunofsummer 2024
Anonim

安全研究人员发现,攻击者可以使用Microsoft的Application Verifier工具来接管各种防病毒产品。 总部位于以色列的安全公司Cybellum声称,一种称为DoubleAgent的新攻击方法利用了为防止病毒攻击而创建的Windows工具,这些工具包括McAfee,Panda,Avast,AVG,Avira,F-Secure,Kaspersky,Malwarebytes,Bitdefender,趋势科技,Comodo以及ESET –并使其充当恶意软件。

Cybellum说,DoubleAgent攻击还能够破坏其他防病毒产品。 该方法通过操纵Microsoft Application Verifier(一种运行时验证系统)来运行,该系统的功能是检测错误并增强第三方Windows程序的安全性。 该工具包含在Windows XP到Windows 10中。

DoubleAgent如何运作

Cybellum解释了DoubleAgent的工作方式:

我们的研究人员发现了Application Verifier的一个未记录的功能,该功能使攻击者能够用自己的自定义验证程序替换标准验证程序。 攻击者可以使用此功能,以将自定义验证程序注入任何应用程序。 注入自定义验证程序后,攻击者现在可以完全控制该应用程序。 创建Application Verifier的目的是通过发现和修复错误来增强应用程序的安全性,具有讽刺意味的是DoubleAgent使用此功能来执行恶意操作。

问题不在于Windows,而在于提供防病毒产品的安全厂商。 Cybellum声称DoubleAgent可用于攻击使用易受感染的防病毒程序的组织。 Malwarebytes,AVG和趋势科技是一些修复了各自产品问题的供应商。 Windows Defender似乎是唯一不受DoubleAgent影响的防病毒产品,因为它使用了一种称为“受保护的进程”的Windows机制。 该机制可保护在用户模式下运行的反恶意软件服务。

减轻

Microsoft提供了“受保护的进程”,以作为允许信任的,经过签名的代码加载的一种方式。 因此,即使攻击者找到了一种新的零日技术作为其代码,攻击者也无法将DoubleAgent用于防病毒。 现在,Cybellum可以在GitHub上获得概念验证攻击代码。

Doubleagent使您的Windows防病毒软件成为恶意软件