來(lái)自CyberArk公司的安全研究人員們發(fā)現(xiàn)了一種新型技術(shù)“Illusion Gap”,允許惡意軟件繞過(guò)Windows Defender——Windows操作系統(tǒng)內(nèi)置的標(biāo)準(zhǔn)安全軟件。
“Illusion Gap”屬于社交工程與流氓SMB服務(wù)器的混合產(chǎn)物。
該攻擊利用到“Windows Defender在執(zhí)行掃描之前,需要首先對(duì)存儲(chǔ)在SMB共享服務(wù)器中的文件進(jìn)行選擇的機(jī)制”。
要令I(lǐng)llusion Gap切實(shí)起效,攻擊者必須說(shuō)服用戶(hù)執(zhí)行某個(gè)托管在惡意SMB服務(wù)器上的文件,聽(tīng)起來(lái)似乎很復(fù)雜,但實(shí)際上只需要一個(gè)簡(jiǎn)單的文件快捷方式即可搞定。
Illusion Gap工作原理問(wèn)題出現(xiàn)在用戶(hù)雙擊該惡意文件之后。在默認(rèn)情況下,Windows會(huì)從SMB服務(wù)器處請(qǐng)求一份文件副本用以創(chuàng)建該文件的執(zhí)行進(jìn)程,而Windows Defender也將請(qǐng)求一份文件副本來(lái)進(jìn)行掃描。
SMB 服務(wù)器能夠區(qū)分這兩項(xiàng)請(qǐng)求,攻擊者則可借此機(jī)會(huì)配置該惡意SMB服務(wù)器以使用兩個(gè)不同的文件響應(yīng)兩項(xiàng)請(qǐng)求。
攻擊者能夠向Windows PE Loader發(fā)送一個(gè)惡意文件,并向Windows Defender發(fā)送另一個(gè)良性文件。Windows Defender會(huì)掃描該良性文件并正常放行,而Windows PE Loader則隨后執(zhí)行該惡意文件——這時(shí),Windows Defender完全不會(huì)意識(shí)到這其實(shí)是兩個(gè)完全不同的文件。
微軟認(rèn)為這并不屬于安全問(wèn)題CyberArk公司表示,其已經(jīng)向微軟方面發(fā)出通知,但后者認(rèn)為這并不屬于安全問(wèn)題。研究人員們?cè)谄銲llusion Gap研究論文中附上了微軟的回復(fù)。
感謝您的郵件。根據(jù)您的報(bào)告,成功攻擊需要用戶(hù)從由能夠根據(jù)訪(fǎng)問(wèn)模式變更自身操作的定制服務(wù)器所支持的不受信SMB共享處運(yùn)行/信任內(nèi)容。這看起來(lái)并不屬于安全問(wèn)題,但我已經(jīng)將內(nèi)容轉(zhuǎn)發(fā)給工程技術(shù)團(tuán)隊(duì)。
再次感謝您負(fù)責(zé)地向微軟報(bào)告安全問(wèn)題,我們對(duì)您的努力深表感謝。
基本解決建議CyberArk公司網(wǎng)絡(luò)研究高級(jí)主管Koby Ben Naim(柯比·本·奈姆)在郵件采訪(fǎng)中指出,“Windows Defender的職責(zé)就是掃描并找出惡意文件——這項(xiàng)缺陷允許惡意文件將其繞過(guò),意味著Windows Defender無(wú)法正常完成其任務(wù)。”
Naim同時(shí)補(bǔ)充稱(chēng),“除了在Windows Defender之外安裝其它反病毒或者端點(diǎn)掃描軟件之外,企業(yè)沒(méi)有更好的辦法來(lái)解決這項(xiàng)特定安全缺陷。”
他表示,“最好解決方案是,企業(yè)不僅需要依靠商戰(zhàn)掃描與反病毒軟件,還應(yīng)采取主動(dòng)安全措施,即假定惡意軟件已經(jīng)突破了您的邊界防線(xiàn)。
“我們堅(jiān)持認(rèn)為,企業(yè)應(yīng)當(dāng)在整個(gè)體系內(nèi)對(duì)端點(diǎn)及服務(wù)器采取最低權(quán)限與控制政策組合,這種主動(dòng)保護(hù)方法并不依賴(lài)于對(duì)高級(jí)惡意軟件的檢測(cè)能力; 而是將一切未知的應(yīng)用程序視為可疑對(duì)象,并借此完成信息保護(hù)。”
Naim提醒用戶(hù),盡管微軟公司是一家偉大的軟件供應(yīng)商,但用戶(hù)必須意識(shí)到,雖然免費(fèi)微軟產(chǎn)品具有價(jià)值,但并不足以成為可靠的安全替代品。微軟能夠打造出優(yōu)秀的產(chǎn)品,但其在本質(zhì)上并不屬于安全廠(chǎng)商。
其它反病毒軟件也可能受到影響Naim還認(rèn)為,CyberArk團(tuán)隊(duì)此次發(fā)現(xiàn)的Windows Defender回避手段未來(lái)還將以新的形式出現(xiàn)。
他在采訪(fǎng)中解釋稱(chēng),“與每一種新型攻擊向量一樣,其最初亮相時(shí)往往作為高端復(fù)雜性攻擊(APT)出現(xiàn)。但一旦攻擊方法被實(shí)際運(yùn)用,其他攻擊者也將很快跟隨這波風(fēng)潮。”
CyberArk公司的研究人員們還警告稱(chēng),其它反病毒解決方案可能同樣會(huì)被Illusion Gap攻擊所愚弄,但該公司還沒(méi)有就此作出實(shí)際測(cè)試。
CyberArk公司研究人員還在YouTube上公布了Illusion Gap攻擊的驗(yàn)證視頻。您也可以在這里獲取Illusion Gap的更多相關(guān)技術(shù)細(xì)節(jié)信息。
京公網(wǎng)安備 11010502049343號(hào)