WINDOWS DEFENDER BYPASS TRICKS OS INTO RUNNING MALICIOUS CODE

B100D1E55

https://threatpost.com/windows-d ... icious-code/128179/

微软不打算修的样子

莒县小哥

谷歌翻译



由迈克尔Mimoso

关注@mike_mimoso
 
2017年9月28日上午10:36
研究人员已经开发了一种绕过Windows Defender的方法，允许任何恶意软件在Windows机器上执行。与此同时，微软告诉专家，它并不认为这是一个安全问题，也不会解决其本机反恶意软件保护问题。
有关Microsoft对于进一步评论的请求未及时得到公布。微软在向Threatpost提供的回应中表示：
“所描述的技术实际应用范围有限。要成功，攻击者首先需要说服用户手动同意从不受信任的远程位置执行未知的二进制文件。用户还需要点击其他警告，以授予攻击者管理员权限。如果攻击者成功说服用户执行所提到的手动步骤，Windows Defender Antivirus和Windows Defender Advanced Threat Protection将会检测攻击者的进一步操作。“
旁路涉及使用定制的SMB服务器，欺骗Windows Defender扫描良性文件，并执行恶意代替传递到操作系统。
Cyber​​Ark网络研究团队负责人Doron Naim和网络研究高级总监Kobi Ben Naim告诉Threatpost，他们称之为Illusion Gap的攻击也可能会影响其他商业防毒产品。
Ben Naim表示，这样的攻击可能会对可以使用这种攻击的高级攻击者感兴趣，作为第一阶段，以获得横向移动或利用其他漏洞的能力。
攻击者首先需要欺骗受害者执行恶意SMB共享上的漏洞利用。攻击者将将其自定义SMB共享的不同文件从Windows PE Loader（其中封装信息以便操作系统运行可执行文件）以及Windows Defender。一旦PE加载程序创建执行该文件并从SMB服务器请求它的进程，攻击者将提供恶意文件。当Windows Defender要扫描文件时，它将被提供一个不同的，良性的文件，Windows Defender将扫描为干净。 Cyber​​Ark表示，PE加载程序将会执行其请求的恶意文件。

“一旦攻击者将恶意文件放入共享中，攻击者就可以控制哪个文件通知Windows Defender它将运行，”Naim说，并补充说，这种情况源于与Windows Defender呼叫相关的设计问题。 “由于您坐在SMB服务器端，您可以了解操作系统或Windows Defender是否正在处理。一旦SMB侧的攻击者实际上识别出Windows Defender想要读取他的文件，那么他们可以将另一个良性文件，而不是恶意文件。在程序结束时在操作系统中运行的实际文件是恶意文件。
Naim还表示，他们构建的脚本也可以将请求删除给Windows Defender，并且它将无法打开。
与此同时，微软在向Cyber​​Ark提供的声明中表示，由于攻击要求用户信任并从不受信任的SMB共享中运行恶意代码，因为它“似乎不是安全问题而是功能请求”微软告诉Cyber​​Ark，被转发给其工程组。
“这个回应是相当荒谬的。如果您开发安全产品，产品应该做的第一件事和最后一件事就是给您更多的安全保障。“Ben Naim说。 “如果您确定每个进程可执行文件在执行之前都必须进行防病毒扫描，那么如果无法扫描文件，则默认应该是该进程未被执行。每个安全供应商都应该考虑这一点。“
Naim表示这种行为恰恰相反，即使Windows Defender无法扫描文件，它仍然允许进程执行。与此同时，Cyber​​Ark表示已经私下向其他安全厂商披露了类似的问题。
他说：“如果您能够识别哪些请求来自本机防病毒软件，哪些来自Windows的本机操作，那么您可以对其他防病毒软件进行相同的处理。”