新闻快讯
< >

BoundHook:利用CPU攻击Windows的新技术

E安全10月20日讯 CyberArk实验室的研究人员开发一种入侵后技术,将其命名为“BoundHook”,攻击者可利用自英特尔第六代微处理器架构Skylake以来推出的所有英特尔芯片MPX功能(内存保护扩展功能)Hook软件组件之间传递的函数调用,这样一来,攻击者便可操控并监控大量Windows应用程序。借助这种技术,攻击者可从任何进程执行代码,躲避反病毒软件以及其它安全检测。

 新型“BoundHook”入侵后攻击技术利用英特尔MPX规避检测-E安全

hook是Windows提供的一种消息处理机制,它使得程序员可以使用子过程来监视系统消息,并在消息到达目标过程前得到处理。

BoundHook如何监控Windows应用程序?

CyberArk的安全研究人员Kasif Dekel(卡瑟夫·德克尔)表示,利用Hook的软件包括:

  • 应用程序安全解决方案;

  • 系统实用程序;

  • 编程工具;

  • 恶意软件等等。

BoundHook攻击条件

Dekel表示,这种PoC攻击的先决条件得有支持MPX(Skylake或此后的架构)的英特尔CPU,同时还需运行Windows 10(64位或32位)系统。此外,攻击者还必须攻破目标系统。

CyberArk资深安全研究员Doron Naim(多伦·纳伊姆)表示,此类攻击的精妙之处在于攻击者可规避检测。

研究人员周三发布技术报告解释称,BoundHook技术能在用户模式下的指定内存位置引起异常。接下来,该技术能捕捉异常,并控制特定应用程序使用的线程执行,例如,通过该技术可拦截Windows和特定服务之间传递的键盘事件消息,从而捕捉或操控受害者的击键。

 新型“BoundHook”入侵后攻击技术利用英特尔MPX规避检测-E安全

这种技术与GhostHook类似。GhostHook能通过英特尔Processor Trace功能绕过微软Windows 10的PatchGuard内核保护。GhostHook技术可绕过PatchGuard,通过Hook在内核层面控制设备。

微软和英特尔为何不准备修复该“漏洞”?

微软和英特尔并不将GhostHook和BoundHook视为漏洞,他们均向CyberArk表示不会修复BoundHook问题,因为这类攻击要求攻击者完全攻破目标系统。

Naim表示,国家黑客可能会利用此类攻击。一些臭名昭著的针对性黑客入侵,例如Flame和Shamoon能轻易利用恶意软件在设备和网络上建立立足点,一旦有了立足点,攻击者不轻易被察觉。

CyberArk在博文中表示,即使BoundHook不符合微软界定漏洞的要求,他们也应当解决此类问题。

微软回应研究人员称,其调查发现这并不是一个漏洞,而是设备被攻破时躲避检测的一种技术。

CyberArk的研究人员表示,管理员应当限制账号权限,最小化BoundHook攻击的横向渗透风险。

Naim指出,之所以发布这项研究成果有两大目的:

  • 其一是引起关注,以便微软最终能解决这个问题。

  • 其二,研究人员希望强化终端用户保护管理员权限的意识,因为管理员权限受保护的情况下,用户便不会遭受BoundHook攻击。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。