DoubleAgent – Come trasformare l’antivirus in un Virus

Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via”  gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno,  può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.

Cosa è DoubleAgent

DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).

DoubleAgent può sfruttare:

• Ogni versione di Windows (Windows XP a Windows 10)
• Ogni architettura di Windows (x86 e x64)
• Ogni utente di Windows (SYSTEM / Amministratore / etc.)
• Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)

DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.

Codice di iniezione di DoubleAgent

DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.

Persistenza

DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.

Vettori di attacco

• Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
• Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
• Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
• Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
• Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).

Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”

Installazione

1. Scaricare il codice sorgente DoubleAgent.
2. Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
3. Copiare l’intera cartella /bin nella macchina di destinazione.
4. Eseguire il programma di installazione:

   Usage: DoubleAgent.exe install\uninstall\repair process_name eg DoubleAgent.exe install cmd.exe

   Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.

5. La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.

DoubleAgent Zero-Day Attacking Norton Antivirus

Vulnerable Antiviruses

L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Rocco Balzamà

 
  Ethical & Growth Hacker | CEH | OSCP | Marketing Manager | Information Security Senior Manager | Data Governance & Privacy Solutions | Cyber Security | Penetration Tester
[ Divulgatore, formatore e consulente in ambito Branding - Comunicazione - IT ]
Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera ancora oggi, con lo stesso entusiasmo che avevo da bambino quando ero un piccolo artigiano, aiuto le aziende a proteggersi ed evolversi nel mondo digitale.