借用AppVerifier的注入方式

显示全部楼层 · 发表于 2017-3-22 09:50:29

本帖最后由 B100D1E55 于 2017-3-22 11:33 编辑

Cybellum通报了一个利用Microsoft自家Application Verifier（系统自带程序查错/调试工具）进行注入的方法，通过替换Verifier的DLL组件可以借由系统向杀软本体注入恶意代码以达到控制杀毒软件、安装后门、跳过特定病毒侦测等行为
主流杀毒软件，包括Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal and Symantec (Norton)均会中招。目前除了Malwarebytes和AVG已经打了补丁之外其他的都还没补上这个漏洞
这个漏洞可以被系统的protected processes机制阻挡，但目前只有WD使用了这种保护机制。不过这个漏洞需要Admin权限执行（如下下图所示）

PoC注入前：

注入后：

网络世界没有绝对的安全

来自：http://www.securityweek.com/atta ... ucts-microsoft-tool

P.S. 不过虽说这是0-day，关于app verifier的讨论从去年年初就开始有了（一些esoteric hooks的讨论）

显示全部楼层 · 发表于 2017-3-22 10:04:00

然并卵，对于普通用户而言遇到0day的几率几乎可以忽略不计，何况0day披露出来很快就会被修补

显示全部楼层 · 发表于 2017-3-22 10:06:48

月影天心发表于 2017-3-22 10:04
然并卵，对于普通用户而言遇到0day的几率几乎可以忽略不计，何况0day披露出来很快就会被修补

看你注册日期也挺早的，还记得当年stuxnet 快捷方式的0-day吗？

显示全部楼层 · 发表于 2017-3-22 10:13:23

哈哈哈诺顿这次糗大了

显示全部楼层 · 发表于 2017-3-22 10:28:21

诺顿这图标是被黑客硬改了吗？

显示全部楼层 · 发表于 2017-3-22 10:33:35

dg1vg4 发表于 2017-3-22 10:28
诺顿这图标是被黑客硬改了吗？

应该是的。。注入后替换了杀软的UI资源，迷之幽默感

显示全部楼层 · 发表于 2017-3-22 10:34:18

。。。只有WD带，这意味着什么。。。。

显示全部楼层 · 发表于 2017-3-22 10:39:27

666 我还能说什么。。。

显示全部楼层 · 发表于 2017-3-22 10:58:21

本帖最后由月影天心于 2017-3-22 14:29 编辑

B100D1E55 发表于 2017-3-22 10:06
看你注册日期也挺早的，还记得当年stuxnet 快捷方式的0-day吗？

避免口水，本帖原文字删除
关于个人信息安全以及当前网络安全环境态势和发展趋势，各有各的看法

显示全部楼层 · 发表于 2017-3-22 11:09:39

替换Verifier的DLL组件需要管理员权限吧。这个漏洞应用范围比较窄。

[分享] 借用AppVerifier的注入方式

本帖子中包含更多资源