安全公司cybellum發現了一個新的零日攻擊,使得黑客可以使用存在于所有windows版本中的漏洞來控制在windows系統上運作的防病毒軟體,這個零日漏洞從windows xp開始存在,一直延續到最新的windows 10。該公司今天釋出的部落格中解釋說,大多數主要的防病毒解決方案都受到此漏洞的影響,包括avast,avg,avira,bitdefender,趨勢科技,comodo,eset,f-secure,卡巴斯基,mcafee,熊貓和諾頓。
這個零日漏洞被稱為doubleagent,該漏洞利用了微軟自己在windows中提供的合法工具,并被命名為“microsoft application verifier”(微軟應用程式驗證器),原本的目的為了幫助開發人員在應用程式中找到錯誤,該工具可以被劫持,用自定義驗證器替換标準驗證器,這使攻擊者能夠完全控制應用程式。
之後,下一步是為屬于安全軟體的程序注冊一個受損害的dll,進而為更多惡意活動打開門戶,例如安裝後門程式,添加排除,删除檔案或甚至以典型的勒索軟體進行攻擊,加密受害者檔案。
cybellum表示已經通知了受影響的安全公司,但到目前為止,隻有malwarebytes和avg釋出了修複更新檔。更糟糕的是,即使在使用者重新啟動系統或安裝修補程式和更新後,doubleagent也具有注冊代碼的功能,進而非常難以删除惡意軟體。通過一種新的持久化技術,doubleagent繞過了av,ngav和其他反病毒解決方案,并且使攻擊者能夠在沒有時間限制的情況下執行攻擊。
本文轉自d1net(轉載)
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)