DoubleAgent：将防病毒软件“催眠”成恶意程序

摘要

近日，以色列安全公司Cybellum的安全研究人员发现一种被称为DoubleAgent（双面代理）的新攻击，它能够使用Windows错误修复工具将防病毒软件变成恶意软件。DoubleAgent攻击涉及从Windows XP到10的所有Windows版本。

一、Cybellum发现DoubleAgent攻击

DoubleAgent攻击是以色列安全公司Cybellum发现的一项新的零日攻击。Cybellum声称已经确认DoubleAgent攻击可以影响的有Avast，AVG，Avira，Bitdefender，趋势科技，Comodo，ESET，F-Secure，卡巴斯基，Malwarebytes，McAfee，熊猫，Quick Heal（印度公司）和诺顿等公司的防病毒产品。

该攻击依赖于Microsoft Application Verifier，它是一种用于发现错误并提高第三方Windows应用程序安全性的运行时验证工具。该工具随Windows XP到Windows 10的各个版本一起运行。

“我们的研究人员发现一个非法的应用验证程序，使攻击者能够用自己的定制验证程序替换标准验证程序。”Cybellum写道。

“攻击者可以使用此功能将自定义验证程序注入到任何应用程序中。一旦注册了自定义验证程序，攻击者就可以完全控制应用程序。”

Cybellum表示，这个问题的原因并不在微软，而是与防病毒软件厂商有关，它有可能被用于攻击使用以上那些受影响的防病毒产品的公司或组织。

该问题实际上可以影响所有的软件产品，由于Cybellum专注于防病毒软件，而这些防病毒产品具有高权限运行，被认为是值得信赖的。

Cybellum警告，如果防病毒软件被劫持，它将绕过公司或组织使用的其他安全产品。

Cyboum联合创始人兼首席技术官Michael Engstler 在表示，DoubleAgent允许攻击者将任何动态链接库注入任意进程。攻击程序将在重新启动后尝试卸载并重新安装程序。

Engstler表示，到目前为止，唯一修补了这个问题的安全厂商是Malwarebytes，AVG和趋势科技。他还指出，所有的软件都容易受到攻击，但重点指出了防病毒软件，因为它是恶意软件的关键防御手段。

值得注意的是，目前唯一能防止该攻击的是Windows Defender。这是因为它单独使用了被称为保护进程的Windows机制，在内核中保护专门用于保护以用户模式运行的反恶意软件服务。微软在Windows 8.1中引入了这一功能，但很明显没有安全厂商采用该技术。

正如微软所说，大多数反恶意软件产品都有一个用户模式的服务，通常用于下载新的病毒定义和更新。

虽然第三方开发人员可以使用一些技术来保护这些更新服务免受攻击，但它们并不是万无一失的。受保护的进程确保用户模式服务只允许受信任的代码加载并屏蔽它们免受管理服务启动的攻击。

二、什么是DoubleAgent攻击？

Cybellum研究团队发现的DoubleAgent零日攻击，攻击者可以直接攻击并劫持对防病毒软件的控制，而不是隐藏和远离防病毒软件。

所谓DoubleAgent攻击，就是指当攻击者利用新的零日漏洞将代码注入防病毒软件时，攻击者就可以完全控制防病毒软件，并开始攻击。因为DoubleAgent攻击会将用户的防病毒安全代理变成恶意代理，给用户一种错觉，即防病毒实际上已经被滥用，不再保护您，而是攻击您。

DoubleAgent攻击利用了一个存在15年的漏洞，它几乎适用于所有版本的Microsoft Windows，从Windows XP开始，直到最新版本的Windows 10。令人遗憾的是，这个漏洞尚未被大多数防病毒软件厂商打补丁，并且可以被用来攻击几乎任何使用防病毒软件的公司或组织。一旦攻击者获得了防病毒软件的控制权，他就可以操控它进行恶意操作。因为防病毒软件被认为是一个值得信赖的软件，所以它所做的任何恶意操作都被认为是合法的，从而使攻击者能够绕过组织中的所有安全产品。

DoubleAgent攻击已经在所有主要的防病毒软件以及所有版本的Microsoft Windows中进行了测试和验证。Cybellum已经向所有存在该漏洞的厂商通 这次攻击，目前厂商们正在寻找解决方案并发布补丁。

三、DoubleAgent攻击是如何进行的？

DoubleAgent利用了Windows中的合法工具——Microsoft Application Verifier，它存在于Windows所有版本中，主要用作验证工具，以便发现和修复应用程序中的错误。Cybellum研究人员发现了一个非法的应用验证程序，使攻击者能够用自己的定制验证程序替换标准验证程序。攻击者可以使用此功能，以便将自定义验证程序注入到任何应用程序中。一旦定制验证程序被注入，攻击者就可以完全控制应用程序。

创建应用程序验证程序本来是通过发现和修复错误来加强应用程序安全性，然则讽刺的是，DoubleAgent攻击却使用此功能来执行恶意操作。

在正常的 络攻击期间，攻击者将投入大量的精力来隐藏和远离防病毒软件。通过使用DoubleAgent攻击可以完全控制防病毒，并按照自己的愿望进行操作，而不用担心被抓住或被阻止。攻击可以完成以下这些恶意操作：

1.将防毒软件变成恶意软件：代替攻击者执行恶意操作。因为防病毒软件被认为是一个值得信赖的软件，所以它所做的任何恶意操作都被认为是合法的，从而使攻击者能够绕过公司或组织中的所有安全产品。

2.修改防病毒内部行为。更改防病毒软件的白名单或黑名单、内部逻辑甚至安装后门。防病毒软件仍然可以正常工作，但实际上完全无有效果，攻击者能够执行恶意软件并不会被阻止。

3.滥用防病毒信任。防病毒软件被认为是公司或组织中最受信任的软件之一。攻击者可以使用防病毒软件进行操作，可能涉及机密数据，C＆C通信，窃取和解密敏感数据等内容。所有这些操作看似都是合法的，因为它们是由防病毒完成的。

4.破坏机器。防病毒软件具有完整的管理功能，可以让您轻松加密所有文件，甚至格式化您的硬盘。

5.拒绝服务。防病毒软件负责根据一组启发式规则对软件进行恶意行为。这意味着攻击者可以签署完全合法和关键的软件，例如浏览器应用程序，文件查看器，甚至是操作系统内部的一些关键组件。签名一旦遍及整个公司或组织，就会对整个公司或组织造成完全的拒绝服务。一旦防病毒软件判定该文件是恶意的，它将为其创建一个签名，并在全球范围内对其进行分享。由于攻击者控制防病毒软件，他可能签署完全合法和关键的应用程序。一旦新的签名传播到整个公司或组织，防病毒软件将删除这些关键应用程序，并导致整个公司或组织遭到拒绝服务攻击。

四、所涉及到的技术

1.自动运行技术

AVs和NGAV在不断监控这些自动运行技术，并试图检测和尝试使用任何这些技术的恶意进程。即使在重新启动之后，DoubleAgent也可以继续注入代码，使其成为一种完美的自动运行技术，通过重新启动、更新、重新安装、修补程序等流程保存其继续“存活”。

众所周知，一旦自动运行技术得以实施，安全产品将相应地更新其签名。所以一旦获取了自动运行技术，就可以通过安全产品进行检测和缓解。并通过一种新自动运行技术，DoubleAgent绕过了AV，NGAV和其他端点解决方案，使攻击者能够在没有时间限制的情况下进行攻击。

2.通用代码注入技术

通用代码注入技术也可用作将代码注入到任何应用程序中，因此它能够绕过试图阻止这种注入的安全解决方案，并在此过程中将恶意代码添加到合法进程中。在合法操作的掩饰下，攻击者可以窃取数据，加密数据，甚至无中断地参与其他活动，因为没有安全解决方案能够检测到这种代码注入。因此，攻击者可以将恶意代码送入您的系统，并通过这样做，可以在您的安全产品的任何检测下从您的鼻子窃取您的信息。

由于DoubleAgent技术使用合法的操作系统机制来注入其代码，因此无法修补，并且这种注入技术将永远存在，不能通过打补丁的方式进行修复。

3.缓解

微软为防病毒厂商提供了一种称为保护过程的新设计理念。新理念专门为防病毒服务而设计。防病毒进程可以创建为“受保护的进程”，受保护的进程只允许受信任的签名代码加载，并具有针对代码注入攻击的内置防御功能。这意味着即使攻击者发现了一种新的零日技术来注入代码，因为它的代码未签名，因此无法使用该防病毒软件。虽然微软在3年前就提供了这种设计理念，但目前还没有防病毒（Windows Defender除外）已经采用。特别重要的是，即使防病毒厂商尝试阻止其进行注册，代码注入技术和自动运行技术都将永远绑定在一起，因为它是操作系统的合法部分。

五、演示：完全控制诺顿防病毒软件

Cybellum研究人员创建了一个完整的概念验证演示，接管了最新版本的赛门铁克的诺顿防病毒软件。在该演示中，研究人员向诺顿注入了一个代码，这个任务本身就与诺顿非常相似，并且与其他防病毒软件一样，通过大量检查和使用许多自我保护技术来确保不会发生问题。这个代码会更改所有诺顿的用户界面，并使攻击者能够在诺顿的进程中执行恶意操作，例如将其转换为勒索软件并加密文件。

以上是防病毒的原始窗口，表明一切都受到保护。

以上是修改后的版本，DoubleAgent注入其中并进行恶意修改。

六、各方回应

趋势科技“零日活动”通信主管Dustin Childs说：“这需要攻击者能够写入Windows注册表，这通常限于具有管理员访问权限的用户。”他说，为了摆脱这种攻击，一个攻击者需要控制整个系统。

趋势科技全球威胁通信总监Jon Clay补充说，该公司的趋势科技消费者终端产品也容易受到DoubleAgent攻击，不过目前已经有相应的补丁可用。

ESET的一名发言人证实，该公司的Windows产品也会遭受DoubleAgent攻击。但她补充说，威胁的严重性非常低，因为攻击者首先需要在受害者机器上拥有所有必要的管理员权限。ESET研究人员目前正在为此问题修复问题。

赛门铁克发言人在一封电子邮件中声明，攻击者需要管理员权限才能对机器进行物理访问。发言人还说：“我们证实，这个攻击并没有利用诺顿的产品漏洞。”“我们仍然致力于保护我们的客户，并在可能的情况下为用户开发和部署了额外的检测和保护。”

微软则拒绝对DoubleAgent攻击发表评论。

结语

攻击者总是在找新的零日攻击，所以我们需要更加努力地发现和防范这些攻击，并停止提供盲目信任的传统安全解决方案，这不仅对零日攻击无效，而且还为攻击者进行复杂而致命的攻击创造了新的机会。

相关链接

希望了解更多与DoubleAgent攻击相关技术的详细内容（包括代码和架构图），请访问Cybellum公司 站：