新闻快讯
< >

新型“鬼钩”攻击可绕过Windows PatchGuard保护

E安全6月26日讯 安全公司CyberArk的安全专家发现一种方法,能绕过Windows PatchGuard保护,并将恶意代码置入Windows内核。借助这种方法,攻击者可以在此前被认为坚不可摧的系统上植入Rootkit。

新型“鬼钩”攻击可绕过Windows PatchGuard保护-E安全

Hook技术

Hook技术可以让攻击者控制操作系统或软件的运行方式。一些利用Hook的软件包括:安全解决方案应用程序、系统实用程序、编程工具(例如拦截、调试、扩展软件等)、恶意软件(例如Rootkit)等等。

但这种技术不属于提权或漏洞利用技术。该技术主要用于利用后场景,攻击者在这种场景中对资产具有控制权。因为恶意内核代码(Rootkit)通常希望在目标内创建并维持持久性,而隐秘技术发挥了重要作用。

Windows PatchGuard

PatchGuard官方的名称为内核补丁保护(KPP),是64位Windows系统的安全功能,旨在阻止第三方代码使用其它程序修改Windows内核。微软于2005年推出PatchGuard功能,该功能已经阻止了大多数Rootkit在64位Windows系统上运行。

“鬼钩”攻击利用英特尔PT功能

安全研究人员发布的 “鬼钩”(GhostHook)新技术能使用英特尔CPU的一项功能绕过PatchGuard。“鬼钩”技术可以为恶意攻击者或信息安全产品提供支持,从而控制设备上运行的任何代码。

研究人员表示,“鬼钩”仅针对运行英特尔Processor Trace(PT)的系统。PT是使用专用硬件捕获当前软件执行相关信息的英特尔CPU功能,以帮助调试操作,并检测恶意代码。

正常情况下,进入英特尔PT操作需要攻击者将恶意功能置入内核级代码,而PatchGuard一般会立即发现并阻止这种操作。

CyberArk的研究人员称,分配非常小的缓冲区处理英特尔PT数据包会导致CPU耗尽缓冲空间,并打开PMI处理器(PMI Handler)来管理溢出代码。但问题在于,PatchGuard不会监控PMI处理器,攻击者可能会趁机通过PMI处理器利用恶意代码修改内核操作。

攻击者通过这种方法神不知鬼不觉地修改Windows内核,并在64位Windows上嵌入RootKit。 “鬼钩”甚至会影响Windows 10。自微软2015年夏季推出Windows 10 以来,被证明有效的Rootkit其实很少。

微软拒绝修复鬼钩攻击媒介

CyberArk公司称已经向微软报告了“鬼钩”攻击,但微软拒绝发布安全更新。微软表示,可能会在定期漏洞修复周期内发布补丁,但不会将“鬼钩”作为漏洞看待。

微软表示,攻击者需要获得被感染设备的内核级访问权限才能执行“鬼钩”攻击。如果攻击者具备内核级访问权也可以执行其它恶意活动,用户首先应该防止攻击者获取内核级权限。

对于微软给予的答复,CyberArk反复强调,这种技术会绕过PatchGuard功能,为Rootkit打开一扇窗进入64位Windows系统,而不一定需要攻击者取得内核级访问权限。

真正的问题在于,攻击者可以利用这种技术在过去数年无法进入的平台上植入Rooktkit。

目前,从整个恶意软件市场来看,由于有PatchGuard为64位系统的安全保驾护航,针对64位Windows系统的恶意软件所占比例不到1%。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。