安全研究公司Matousec發(fā)布報告,詳細說明黑客如何用一種攻擊技巧,成功躲避 Windows安全軟件的偵測,包括McAfee和趨勢科技(Trend Micro)知名的殺毒軟件。
不過,Matousec承認,這種攻擊技 術有重大的限制,例如必須先取得在一部系統(tǒng)上執(zhí)行程序代碼的能力。換句話說,這套方法必須同時搭配另一種攻擊手法(attack vector),或是由具有某部系統(tǒng)本機存取權限的黑客來執(zhí)行。
這套方法稱為"argument-switch"攻擊,可用來攻擊采用SSDT(System Service Descriptor Table) hooking技術的Windows安全程序。Matousec測試的35種應用軟件都采用這種技術,包括BitDefender、F-Secure、 Kaspersky、Sophos、McAfee和趨勢科技的產品在內。
Matousec在公布的一份研究報告中說:我們測試了普遍使用的安全軟件,發(fā)現(xiàn)它們全都有漏洞。今天大多數(shù)受歡迎的安全解決方案根本不管用。
SSDT hooking被眾多殺毒軟件采用,作為偵測和攔阻攻擊機制的一部分。此技巧涉及修改SSDT的目錄。本公司的研究聚焦于核心(kernel)模式的 hook,不過,這種攻擊對使用者模式的hook也有效。
Matousec說:結果可用一句話總結:如果某項產品使用SSDT hook,或在類似層級采用另一種核心模式的hook,來落實安全功能,那么它就有漏洞。
該公司研究員指出,有些殺毒產品并不使用上述的技巧,例如Immunet。
Matousec說,攻擊者利用一種稱為競賽情況(race condition)的軟件瑕疵(bug);在這種情況下,兩條執(zhí)行緒(thread)爭相存取共用的資源,造成程序邏輯出錯。攻擊者利用這種瑕疵,讓殺毒軟件誤以為它允許執(zhí)行的是無害的程序代碼,但其實卻是惡意程序。
這種回避手法的成功率并非百分之百。不過,Matousec指出,如果某部系統(tǒng)跑多重處理器或多核心處理器,那么這種攻擊就更容易成功。
該公司表示,今天,多重處理器或多核心處理器在臺式機很常見,而攻擊即使通過有限的使用者帳號權限,也能得逞。
測試是在采用32位硬件的Windows XP SP3和Windows Vista SP1系統(tǒng)上執(zhí)行。但Matousec說,所有的Windows版本都可能有漏洞,連Windows 7也不例外。
Matousec呼吁殺毒軟件公司改善運用kernel hook的方式,并自稱已研究出怎么做的方法,但這套方法尚未公開發(fā)表。
該公司說:改善kernel hook的安全性,對安全軟件廠商可能是相當復雜的任務,特別是對軟件運用大量SSDT和其他類型hook的廠商而言。
進入論壇>>聲明:IT商業(yè)新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
來自工信部最新的互聯(lián)網產業(yè)數(shù)據(jù)顯示,我國網民總數(shù)已達4.04億,而CNNIC4月7日發(fā)布的《2009年中國網民網絡視頻應用研究報告》的數(shù)據(jù)顯示,截止到2009年底,我國網絡視頻用戶規(guī)模達到2.4億。如此海量的用戶就產生了足>>>詳細閱讀
本文標題:Matousec報告:黑客攻擊打敗多數(shù)殺軟
地址:http://m.sdlzkt.com/a/01/20111231/245204.html
網友點評
精彩導讀
科技快報
品牌展示