广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2000 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
骇客攻击打败「大多数」防毒软体
骇客攻击打败「大多数」防毒软体
                                                                                                                                                                                                                                           
ZDNET新闻专区:Matthew Broersma
2010/05/12 13:45:02
资安研究公司Matousec发表报告,详细说明骇客如何用一种攻击技巧,成功躲避Windows安全软体的侦测,包括McAfee和趋势科技(Trend Micro)知名的防毒软体。

不过,Matousec承认,这种攻击技术有重大的限制,例如必须先取得在一部系统上执行程式码的能力。换句话说,这套方法必须同时搭配另一种攻击手法(attack vector),或是由具有某部系统本机存取权限的骇客来执行。

这套方法称为"argument-switch"攻击,可用来攻击采用SSDT(System Service Descriptor Table) hooking技术的Windows安全程式。Matousec测试的35种应用软体都采用这种技术,包括BitDefender、F-Secure、Kaspersky、Sophos、McAfee和趋势科技的产品在内。

Matousec在周三公布的一份研究报告中说:「我们测试了普遍使用的安全软体,发现它们全都有弱点。今天大多数受欢迎的安全解决方案根本不管用。」

SSDT hooking被众多防毒软体采用,作为侦测和拦阻攻击机制的一部分。此技巧涉及修改SSDT的目录。本公司的研究聚焦于核心(kernel)模式的hook,不过,这种攻击对使用者模式的hook也有效。

Matousec说:「结果可用一句话总结:如果某项产品使用SSDT hook,或在类似层级采用另一种核心模式的hook,来落实安全功能,那么它就有弱点。」

该公司研究员指出,有些防毒产品并不使用上述的技巧,例如Immunet。

Matousec说,攻击者利用一种称为「竞赛情况」(race condition)的软体瑕疵(bug);在这种情况下,两条执行绪(thread)争相存取共用的资源,造成程式逻辑出错。攻击者利用这种瑕疵,让防毒软体误以为它允许执行的是无害的程式码,但其实却是恶意程式。

这种回避手法的成功率并非百分之百。不过,Matousec指出,如果某部系统跑多重处理器或多核心处理器,那么这种攻击就更容易成功。

该公司表示,今天,多重处理器或多核心处理器在桌上型电脑很常见,而攻击即使透过有限的使用者帐号权限,也能得逞。

测试是在采用32位元硬体的Windows XP SP3和Windows Vista SP1系统上执行。但 Matousec说,所有的Windows版本都可能有弱点,连Windows 7也不例外。

Matousec呼吁防毒软体公司改善运用kernel hook的方式,并自称已研究出怎么做的方法,但这套方法尚未公开发表。

该公司说:「改善kernel hook的安全性,对安全软体商可能是相当复杂的任务,特别是对软体运用大量SSDT和其他类型hook的业者而言。」(唐慧文译)
http://www.zdnet.com.tw/news/softwa...20145442,00.htm



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾中华电信 | Posted:2010-05-12 15:24 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.031590 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言