有恶意软件利用NTFS事务功能成功躲避安全软件拦截
近期有安全研究团队监测恶意软件使用新的攻击手段,用来躲避目前市场上流行的绝大多数安全软件的拦截。
这种攻击方式可以运用在Windows Vista~Windows 10 系统,因此暂时并没有太好的办法能够解决该问题。
日前在伦敦举办的 2017 年黑帽大会上研究人员揭露了这种攻击方式,以下是关于这种攻击方式的具体信息。
利用NTFS事务功能注入恶意软件:
NTFS 事务允许应用程序将多个文件归组到某个事务中,该功能可保证所有更改要么同时生效要么同时作废。
研究人员Tal Liberman介绍称,攻击者先将合法的可执行文件加载到NTFS 事务,接着再用恶意软件去覆盖。
然后攻击者再修改恶意软件使之创建部分内存信息,接着故意让 NTFS 事务出现错误以便自动进行回滚操作。
最后使用旧的 Windows 进程加载器加载贮存在内存中的恶意文件,而这个恶意文件实际上并未保存到磁盘。
由于恶意文件并未保存到磁盘上同时 NTFS 事务不允许其他程序检测更改,所以多数安全软件无法对其拦截。
测试多款主流安全软件均无法拦截:
研究人员测试了Windows 10系统自带的Windows Defender反病毒软件,不过该软件并不能对其进行拦截。
接着研究人员又测试了卡巴斯基、ESET / 诺顿、趋势科技、赛门铁克、Avast、迈克菲、AVG等都未被拦截。
因此使用这种攻击方式的恶意软件可以说在目标设备上的运行畅通无阻,同时可以显著提升最终的攻击效果。
Windows 10此前可以免疫该攻击的:
该攻击方式利用的除了NTFS事务功能外还依靠Windows加载器,研究人员称部分 Windows 版本可以免疫。
免疫的版本包括 Windows 10 秋季创意者更新和正在测试的Windows 10 Version 1803,不过现在不行了。
因为此前微软发现秋季创意者更新版 Windows 加载器存在故障,会引起系统直接蓝屏死机导致设备崩溃掉。
然后微软已经发布更新修复了这个问题,修复后 Windows 加载器组件又可以正常运行于是不能免疫该攻击。