有恶意软件利用NTFS事务功能成功躲避安全软件拦截

近期有安全研究团队监测恶意软件使用新的攻击手段,用来躲避目前市场上流行的绝大多数安全软件的拦截。

这种攻击方式可以运用在Windows Vista~Windows 10 系统,因此暂时并没有太好的办法能够解决该问题。

日前在伦敦举办的 2017 年黑帽大会上研究人员揭露了这种攻击方式,以下是关于这种攻击方式的具体信息。

利用NTFS事务功能注入恶意软件:

NTFS 事务允许应用程序将多个文件归组到某个事务中,该功能可保证所有更改要么同时生效要么同时作废。

研究人员Tal Liberman介绍称,攻击者先将合法的可执行文件加载到NTFS 事务,接着再用恶意软件去覆盖。

然后攻击者再修改恶意软件使之创建部分内存信息,接着故意让 NTFS 事务出现错误以便自动进行回滚操作。

最后使用旧的 Windows 进程加载器加载贮存在内存中的恶意文件,而这个恶意文件实际上并未保存到磁盘。

由于恶意文件并未保存到磁盘上同时 NTFS 事务不允许其他程序检测更改,所以多数安全软件无法对其拦截。

有恶意软件利用NTFS事务功能成功躲避安全软件拦截

测试多款主流安全软件均无法拦截:

研究人员测试了Windows 10系统自带的Windows Defender反病毒软件,不过该软件并不能对其进行拦截。

接着研究人员又测试了卡巴斯基、ESET / 诺顿、趋势科技、赛门铁克、Avast、迈克菲、AVG等都未被拦截。

因此使用这种攻击方式的恶意软件可以说在目标设备上的运行畅通无阻,同时可以显著提升最终的攻击效果。

Windows 10此前可以免疫该攻击的:

该攻击方式利用的除了NTFS事务功能外还依靠Windows加载器,研究人员称部分 Windows 版本可以免疫。

免疫的版本包括 Windows 10 秋季创意者更新和正在测试的Windows 10 Version 1803,不过现在不行了。

因为此前微软发现秋季创意者更新版 Windows 加载器存在故障,会引起系统直接蓝屏死机导致设备崩溃掉。

然后微软已经发布更新修复了这个问题,修复后 Windows 加载器组件又可以正常运行于是不能免疫该攻击。

本文来源 HackerNews,由 山外的鸭子哥 整理编辑,其版权均为 HackerNews 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

2 条评论,访客:1 条,站长:1 条
  1. 0__0
    0__0发布于: 
    Google Chrome 63.0.3239.84 Google Chrome 63.0.3239.84 Windows 10 64位版 Windows 10 64位版

    因为会崩溃,所以能免疫,哈哈哈

发表评论