Illusion Gap攻击可绕过Windows内置安全防御

E安全9月29日讯 来自CyberArk公司的安全研究人员们发现了一种新型技术“Illusion Gap”，允许恶意软件绕过Windows Defender——Windows操作系统内置的标准安全杀毒软件。

“Illusion Gap”属于社交工程与流氓SMB服务器的混合产物。

该攻击利用到“Windows Defender在执行扫描之前，需要首先对存储在SMB共享服务器中的文件进行选择的机制”。

要令Illusion Gap切实起效，攻击者必须说服用户执行某个托管在恶意SMB服务器上的文件，听起来似乎很复杂，但实际上只需要一个简单的文件快捷方式即可搞定。

Illusion Gap工作原理

问题出现在用户双击该恶意文件之后。在默认情况下，Windows会从SMB服务器处请求一份文件副本用以创建该文件的执行进程，而Windows Defender也将请求一份文件副本来进行扫描。

SMB 服务器能够区分这两项请求，攻击者则可借此机会配置该恶意SMB服务器以使用两个不同的文件响应两项请求。

攻击者能够向Windows PE Loader发送一个恶意文件，并向Windows Defender发送另一个良性文件。Windows Defender会扫描该良性文件并正常放行，而Windows PE Loader则随后执行该恶意文件——这时，Windows Defender完全不会意识到这其实是两个完全不同的文件。

微软认为这并不属于安全问题

CyberArk公司表示，其已经向微软方面发出通知，但后者认为这并不属于安全问题。研究人员们在其Illusion Gap研究论文中附上了微软的回复。

感谢您的邮件。根据您的报告，成功攻击需要用户从由能够根据访问模式变更自身操作的定制服务器所支持的不受信SMB共享处运行/信任内容。这看起来并不属于安全问题，但我已经将内容转发给工程技术团队。

再次感谢您负责地向微软报告安全问题，我们对您的努力深表感谢。

基本解决建议

CyberArk公司网络研究高级主管Koby Ben Naim（柯比·本·奈姆）在邮件采访中指出，“Windows Defender的职责就是扫描并找出恶意文件——这项缺陷允许恶意文件将其绕过，意味着Windows Defender无法正常完成其任务。”

Naim同时补充称，“除了在Windows Defender之外安装其它反病毒或者端点扫描软件之外，企业没有更好的办法来解决这项特定安全缺陷。”

他表示，“最好解决方案是，企业不仅需要依靠商战扫描与反病毒软件，还应采取主动安全措施，即假定恶意软件已经突破了您的边界防线。

“我们坚持认为，企业应当在整个体系内对端点及服务器采取最低权限与控制政策组合，这种主动保护方法并不依赖于对高级恶意软件的检测能力; 而是将一切未知的应用程序视为可疑对象，并借此完成信息保护。”

Naim提醒用户，尽管微软公司是一家伟大的软件供应商，但用户必须意识到，虽然免费微软产品具有价值，但并不足以成为可靠的安全替代品。微软能够打造出优秀的产品，但其在本质上并不属于安全厂商。

其它反病毒软件也可能受到影响

Naim还认为，CyberArk团队此次发现的Windows Defender回避手段未来还将以新的形式出现。

他在采访中解释称，“与每一种新型攻击向量一样，其最初亮相时往往作为高端复杂性攻击（APT）出现。但一旦攻击方法被实际运用，其他攻击者也将很快跟随这波风潮。”

CyberArk公司的研究人员们还警告称，其它反病毒解决方案可能同样会被Illusion Gap攻击所愚弄，但该公司还没有就此作出实际测试。

CyberArk公司研究人员还在YouTube上公布了Illusion Gap攻击的验证视频。您也可以在这里获取Illusion Gap的更多相关技术细节信息。

【视频1】

【视频2】

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/274878800.shtml

相关阅读：

• 微软最新内核漏洞：所有Windows版本受影响
  

• CIA Angelfire：专门感染Windows的恶意软件框架
  

• 黑客利用Windows的新后门攻击俄罗斯企业
  

• CowelSnail：针对Windows系统的新后门
  

• 新型“鬼钩”攻击可绕过Windows PatchGuard保护
  

• CIA泄露的恶意间谍软件“雅典娜”威胁所有Windows版本
  

• 影子经纪人曝光NSA使用的Windows系统高危漏洞工具与Stuxnet如出一辙
  

▼点击“阅读原文” 查看更多精彩内容