研究人員已經(jīng)披露了流行軟件應(yīng)用程序中的重大安全漏洞，這些漏洞可能被濫用以停用其保護(hù)并控制允許列出的應(yīng)用程序，以惡意軟件的名義執(zhí)行惡意操作，使用此技巧繞過反病毒解決方案中的勒索軟件防御。

盧森堡大學(xué)和倫敦大學(xué)的學(xué)者詳細(xì)介紹了這兩次攻擊https://dl.acm.org/doi/10.1145/3431286，目的是繞過反病毒程序提供的受保護(hù)文件夾功能來加密文件(又名“剪切和鼠標(biāo)”)并禁用它們的實(shí)時(shí)保護(hù)通過模擬鼠標(biāo)“點(diǎn)擊”事件(又名“幽靈控制”)。

盧森堡大學(xué)安全、可靠性和信任跨學(xué)科中心首席科學(xué)家 Gabriele Lenzini 教授說：

換句話說，惡意軟件緩解軟件的漏洞不僅會(huì)允許未經(jīng)授權(quán)的代碼關(guān)閉其保護(hù)功能，反病毒供應(yīng)商提供的受保護(hù)文件夾解決方案中的設(shè)計(jì)漏洞可能會(huì)被勒索軟件濫用，以使用已配置的應(yīng)用程序更改文件的內(nèi)容對(duì)文件夾進(jìn)行寫入訪問并加密用戶數(shù)據(jù)，或使用擦除軟件來徹底地銷毀受害者的個(gè)人文件。

受保護(hù)文件夾允許用戶指定需要針對(duì)破壞性軟件的附加保護(hù)層的文件夾，從而可能阻止對(duì)受保護(hù)文件夾的任何不安全訪問。

研究人員說：

研究人員設(shè)計(jì)的一個(gè)攻擊場(chǎng)景顯示，惡意代碼可以用來控制一個(gè)可信的應(yīng)用程序，比如Notepad，來執(zhí)行寫操作，并加密存儲(chǔ)在受保護(hù)文件夾中的受害者文件。為此，勒索軟件讀取文件夾中的文件，在內(nèi)存中對(duì)它們進(jìn)行加密，并將它們復(fù)制到系統(tǒng)剪貼板中，隨后，勒索軟件啟動(dòng)記事本，用剪貼板數(shù)據(jù)覆蓋文件夾內(nèi)容。

更糟糕的是，通過利用Paint作為可信的應(yīng)用程序，研究人員發(fā)現(xiàn)上述攻擊序列可以被用來用隨機(jī)生成的圖像覆蓋用戶的文件，從而永久地破壞它們。

另一方面，Ghost Control 攻擊本身可能會(huì)產(chǎn)生嚴(yán)重后果，因?yàn)橥ㄟ^模擬在反病毒解決方案的用戶界面上執(zhí)行的合法用戶操作來關(guān)閉實(shí)時(shí)惡意軟件保護(hù)可能允許攻擊者刪除和執(zhí)行任何流氓程序從他們控制的遠(yuǎn)程服務(wù)器。

在研究期間評(píng)估的29個(gè)反病毒解決方案中，14個(gè)被發(fā)現(xiàn)容易受到Ghost Control攻擊，而所有29個(gè)被測(cè)試的反病毒程序都被發(fā)現(xiàn)有受到上述“剪切-鼠標(biāo)”攻擊的風(fēng)險(xiǎn)。研究人員沒有透露受影響的供應(yīng)商的名字。

如果有什么區(qū)別的話，這些發(fā)現(xiàn)提醒我們，那些明確旨在保護(hù)數(shù)字資產(chǎn)免受惡意軟件攻擊的安全解決方案本身可能存在弱點(diǎn)，從而違背了它們的目的。即使反病毒軟件提供商繼續(xù)加強(qiáng)防御，惡意軟件的作者已經(jīng)通過規(guī)避和混淆戰(zhàn)術(shù)偷偷地越過這些障礙，更不用說通過中毒攻擊使用對(duì)抗性輸入繞過他們的行為檢測(cè)了。

研究人員說：

本文翻譯自：https://thehackernews.com/2021/06/malware-can-use-this-trick-to-bypass.html