SafeBreach設計的惡意軟件可利用云端反病毒代理從終端提取數(shù)據(jù)

責任編輯:editor004

作者:Alpha_h4ck

2017-08-10 11:29:13

摘自:黑客與極客

來自SafeBreach的安全研究專家設計出了一種惡意軟件,這種惡意軟件能夠利用云端增強型反病毒(AV)代理從沒有直接接入互聯(lián)網(wǎng)的終端設備中提取數(shù)據(jù)。研究人員表示:“我們利用的是基于云端的反病毒沙盒功能,很多反病毒廠商目前都在使用這種功能。

來自SafeBreach的安全研究專家設計出了一種惡意軟件,這種惡意軟件能夠利用云端增強型反病毒(AV)代理從沒有直接接入互聯(lián)網(wǎng)的終端設備中提取數(shù)據(jù)。

利用云端反病毒代理從終端提取數(shù)據(jù)

安全研究專家認為,某些高度安全的企業(yè)可能會采取嚴格的數(shù)據(jù)出口過濾規(guī)則,這也就意味著終端設備可能沒有直接接入互聯(lián)網(wǎng),或者是終端設備的鏈接會被重定向到安裝了防護軟件的主機(作為網(wǎng)關),但如果企業(yè)環(huán)境中使用了云AV產(chǎn)品的話,企業(yè)的敏感數(shù)據(jù)依然是有可能被不法分子竊取的。

來自SafeBreach實驗室的Itzik Kotler和Amit Klein就在前兩天剛剛于美國舉辦的2017年Black Hat黑客大會上演示了這種惡意軟件。研究人員表示,惡意軟件在感染了終端設備之后,惡意軟件的主進程回創(chuàng)建一個可執(zhí)行文件,并將終端設備的數(shù)據(jù)封裝在這個可執(zhí)行文件之中。此時AV產(chǎn)品便會檢測到這種惡意的可執(zhí)行文件,如果云AV產(chǎn)品采用了聯(lián)網(wǎng)沙盒環(huán)境的話,那么當AV代理將這個剛生成的可執(zhí)行文件上傳到云端進行進一步分析時(文件在聯(lián)網(wǎng)沙盒環(huán)境中被執(zhí)行),這款PoC工具便能夠從這個可執(zhí)行文件中提取出數(shù)據(jù)。

在研究人員發(fā)表的白皮書【PDF】中,研究人員不僅提供了相關數(shù)據(jù)以及云端反病毒產(chǎn)品沙盒環(huán)境的內(nèi)部結構分析,而且還描述了云端AV產(chǎn)品的掃描機制、惡意軟件分類機制以及病毒樣本共享機制等內(nèi)容。除此之外,他們還介紹了這種攻擊技術的增強型攻擊方法,并給云端AV廠商提供了相應的緩解方案。

這款PoC工具名叫Spacebin,目前該工具的源代碼已經(jīng)上傳到了GitHub上。該項目中包含服務器端以及客戶端的代碼,以及工具的使用方法,所有與該工具有關的東西都可以在該項目的GitHub主頁上找到?!緜魉烷T】

Kotler和Klein主要對兩個高度安全的組織的兩種網(wǎng)絡架構進行了分析:在其中一個組織中,終端設備沒有網(wǎng)絡訪問權,但是反病毒管理服務器可以連接網(wǎng)絡;另一個組織中,終端設備與主機相連,這也就意味著它們可以受限制地訪問網(wǎng)絡。在上面這兩種場景中,所有的終端設備都部署了云AV代理。

研究人員表示:“我們利用的是基于云端的反病毒沙盒功能,很多反病毒廠商目前都在使用這種功能。這種功能的基本原理是:它能夠允許AV廠商通過輕量級的代理軟件在云端進行繁重的安全分析任務。具體而言,在這種體系架構中,AV代理只需要對特定的進程和文件進行基本的安全檢測,而對于那些無法確定其惡意性的文件來說,它們將會被轉(zhuǎn)移到一個“灰色地帶”,這個“灰色地帶”中的所有進程或文件都將被發(fā)送到云端進行進一步分析,用戶可以從云端獲取最終的分析結果(幾乎無需等待)。”

一般情況下,待檢測的文件樣本都會在云端AV沙盒環(huán)境中被執(zhí)行,并且在沙盒中觀察其行為,這樣可以防止惡意程序?qū)φ鎸嵱脩艋驅(qū)嶓w設備造成損害。AV云沙盒通常都需要接入互聯(lián)網(wǎng),因為這樣可以提升其檢測能力(比如說,惡意軟件可能會嘗試連接一臺命令控制服務器,此時沙盒就可以檢測到這種行為了)。

惡意軟件可能會嘗試連接一臺命令控制服務器,此時沙盒就可以檢測到這種行為了

研究人員解釋稱,攻擊者進程(代號Rocket)中還包含一個可執(zhí)行文件(代號Satellite),Satellite可以被加密或壓縮以掩蓋自己可執(zhí)行文件的身份,因此Satellite可以成為Rocket內(nèi)存空間中的一部分數(shù)據(jù),而不會對Rocket本身造成影響。Satellite中包含一個占位符,這個占位符可以存儲任何需要提取的數(shù)據(jù)(Payload),而且Rocket需要知道這個占位符的具體位置。

在攻擊的過程中,Rocket負責收集那些最終需要提取出來的數(shù)據(jù)(Payload),然后解密/解壓Satellite并將Payload嵌入到Satellite鏡像(還可以對Payload進行壓縮或加密)中,接下來將Satellite鏡像以文件的形式寫入到磁盤中,最終生成Satellite子進程。接下來,Satellite會故意進行一些可疑行為來觸發(fā)終端設備的AV檢測,隨后Satellite鏡像文件(包含Payload)便會被被上傳到云端。上傳之后,云AV會在聯(lián)網(wǎng)沙盒環(huán)境中執(zhí)行Satellite文件,而Satellite進程就可以使用任意一種基于網(wǎng)絡的數(shù)據(jù)提取方法從中提取出Payload了。

但是這種攻擊方式的隱蔽性還不夠好,因為AV產(chǎn)品會將Satellite文件標記為可疑文件,而此時用戶很有可能會注意到,而且日志和記錄文件都會對這種行為進行記錄。但是此時攻擊已經(jīng)發(fā)生了,數(shù)據(jù)也已經(jīng)被攻擊者提取走了,所以一切都已經(jīng)來不及了。

* 參考來源:securityweek, FB小編Alpha_h4ck編譯,轉(zhuǎn)載請注明來自FreeBuf.COM

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號