研究人员已经披露了流行软件应用程序中的重大安全漏洞,这些漏洞可能被滥用以停用其保护并控制允许列出的应用程序,以代表恶意软件执行恶意操作,以击败反勒索软件防御。
卢森堡大学和伦敦大学的学者详细介绍了这两次攻击,目的是绕过防病毒程序提供的受保护文件夹功能来加密文件(又名“剪切和鼠标”)并禁用它们的实时保护通过模拟鼠标“点击”事件(又名“幽灵控制”)。
卢森堡大学安全、可靠性和信任跨学科中心首席科学家 Gabriele Lenzini 教授说: “防病毒软件提供商始终提供高水平的安全性,它们是日常打击犯罪分子的重要组成部分。” “但他们正在与现在拥有越来越多的资源、权力和奉献精神的犯罪分子竞争。”
换句话说,恶意软件缓解软件的缺点不仅会允许未经授权的代码关闭其保护功能,防病毒供应商提供的受保护文件夹解决方案中的设计缺陷可能会被勒索软件滥用,以使用已配置的应用程序更改文件的内容对文件夹进行写访问并加密用户数据,或使用擦除软件来不可撤销地销毁受害者的个人文件。
受保护文件夹允许用户指定需要针对破坏性软件的附加保护层的文件夹,从而可能阻止对受保护文件夹的任何不安全访问。
“一小部分列入白名单的应用程序被授予写入受保护文件夹的权限,”研究人员说。“但是,列入白名单的应用程序本身并没有被其他应用程序滥用的保护。因此,这种信任是不合理的,因为恶意软件可以通过使用列入白名单的应用程序作为中介对受保护的文件夹执行操作。”
研究人员设计的攻击场景表明,恶意代码可用于控制记事本等受信任的应用程序,以执行写入操作并加密存储在受保护文件夹中的受害者文件。为此,勒索软件会读取文件夹中的文件,在内存中对其进行加密,然后将它们复制到系统剪贴板,然后勒索软件会启动记事本,用剪贴板数据覆盖文件夹内容。
更糟糕的是,通过将 Paint 作为受信任的应用程序,研究人员发现上述攻击序列可用于用随机生成的图像覆盖用户文件以永久销毁它们。
另一方面,Ghost Control 攻击本身可能会产生严重后果,因为通过模拟在防病毒解决方案的用户界面上执行的合法用户操作来关闭实时恶意软件保护可能允许攻击者删除和执行任何流氓程序从他们控制的远程服务器。
在研究期间评估的 29 种防病毒解决方案中,发现其中 14 种容易受到 Ghost Control 攻击,而测试的所有 29 种防病毒程序都受到 Cut-and-Mouse 攻击的威胁。研究人员没有透露受影响的供应商的名字。
如果有的话,调查结果提醒人们,明确设计用于保护数字资产免受恶意软件攻击的安全解决方案本身可能存在弱点,从而无法达到其目的。即使防病毒软件提供商继续加强防御,恶意软件作者也通过规避和混淆策略偷偷溜过了这些障碍,更不用说通过中毒攻击使用对抗性输入绕过他们的行为检测了。
“安全可组合性是安全工程中的一个众所周知的问题,”研究人员说。“当单独考虑时,提供某个已知攻击面的组件在集成到系统中时确实会产生更广泛的表面。组件彼此交互以及与系统的其他部分创建一种动态,攻击者也可以以某种方式与之交互这是设计师没有预见到的。”
*编译:Domino
*来自:thehackernews