Napad DoubleAgent preuzima potpunu kontrolu nad antivirusom

Vesti, 23.03.2017, 10:30 AM

Bezbednosni istraživači iz firme Cybellum otkrili su novu tehniku nazvanu DoubleAgent koja može omogućiti hakerima da preotmu kontrolu nad zaštitnim programima na računarima i da ih primoraju na zlonamerno delovanje.

Napad nazvan DoubleAgent je osmišljen kada su istraživači otkrili kako da iskoriste Microsoftov mehanizam Application Verifier za učitavanje malicioznog koda unutar drugih aplikacija.

Microsoft Application Verifier je alat koji omogućava programerima da provere greške u kodu za vreme rada na njemu. Alat se isporučuje sa svim verzijama Windowsa i radi učitavanjem DLL u aplikacije koje programeri žele da provere.

Istraživači Cybelluma otkrili su da programeri mogu da učitaju svoj sopstveni "verifier DLL" umesto onog koji obezbeđuje Microsoft Application Verifier.

Jednostavnim kreiranjem Windows Registry ključa, napadač može imenovati aplikaciju koju želi da preotme i zatim pružiti svoj sopstveni lažni DLL koji želi da ubaci u legitimni proces. Čak i ako antivirusni programi štite registry ključeve svojih procesa, istraživači Cybelluma tvrde da njihova tehnika napada može da izbegne te zaštite.

Istraživači kažu da je većina antivirusnih programa podložna DoubleAgent napadu. Na spisku takvih programa su Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal i Norton.

Cybellum je o ovome obavestio sve proizvođače antivirusnog softvera čiji su proizvodi podložni ovom napadu pre više od 90 dana. Za sada su zakrpe objavili Malwarebytes, AVG i Trend Micro.

DoubleAgent napad je veoma opasan, jer utiče na antivirusne programe koje isključuje. U zavisnosti od svojih veština, napadač može da koristi DoubleAgent propust za učitavanje koda koji može da isključi antivirus, da ga učini "slepim" za malvere i napade, da ga koristi kao proxy za pokretanje napada na lokalni računar ili mrežu, da podigne nivo korisničkih privilegija jer antivirusi obično rade sa najvećim privilegijama, da koristi antivirus za sakrivanje malicioznog saobraćaja ili izvlačenje podataka i da ošteti operativni sistem.

DoubleAgent napad omogućava napadaču da ponovo ubacuje maliciozni DLL u ciljani proces posle svakog pokretanja sistema. Napad utiče na sve programe a ne samo na antiviruse, ali su se istraživači Cybelluma fokusirali samo na antivirusni softver.

Zbog toga što DoubleAgent omogućava ubacivanje koda u bilo koji proces, on je pretnja za sve procese, pa čak i za sam Windows.

Proof-of-concept kod istraživača Cybelluma može se naći na GitHubu.

Cybellum je preporučio proizvođačima antivirusa da koriste Microsoft Protected Process mehanizam, koji je kompanija predstavila u Windows 8.1. Od svih antivirusa, ovaj mehanizam koristi samo Windowd Defender.

Protected Process je sistem koji je Microsoft osmislio za anti-malver servise, a inače funkicioniše tako što štiti njihove procese ne dozvoljavajući drugim aplikacijama da ubace nepotpisani kod.