Android Security Year in Review – Report annuale sulla sicurezza
22 marzo 2017
La botnet Necurs adesso è in grado di lanciare attacchi DDoS
26 marzo 2017
Mostra tutti
0

DoubleAgent – Come trasformare l’antivirus in un Virus

DoubleAgent – Come trasformare l’antivirus in un Virus

Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via”  gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno,  può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.

Cosa è DoubleAgent

DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).

DoubleAgent può sfruttare:

  • Ogni versione di Windows (Windows XP a Windows 10)
  • Ogni architettura di Windows (x86 e x64)
  • Ogni utente di Windows (SYSTEM / Amministratore / etc.)
  • Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)

DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.

Codice di iniezione di DoubleAgent

DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.

Persistenza

DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.

Vettori di attacco

  • Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
  • Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
  • Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
  • Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
  • Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).

Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”

Installazione

  1. Scaricare il codice sorgente DoubleAgent.
  2. Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
  3. Copiare l’intera cartella /bin nella macchina di destinazione.
  4. Eseguire il programma di installazione: 
    Usage: DoubleAgent.exe install\uninstall\repair process_name eg DoubleAgent.exe install cmd.exe

    Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.

  5. La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.

DoubleAgent Zero-Day Attacking Norton Antivirus

Vulnerable Antiviruses

L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

 

Valutazione Media
Last Reviewer
Reviewed Item
DoubleAgent - Come trasformare l’antivirus in un Virus
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer

Ti potrebbero interessare

27 giugno 2017

Cybersecurity: Petya Ransomware Hacks globale con il codice “Eternal Blue”

Continua
20 giugno 2017

Vamping ed insonnia digitale dei preadolescenti italiani tra videogiochi chat e adescamenti

Continua
30 maggio 2017

Leak “Anti public” – Nel Deep Web 17 Gb di password ed email rubate

Continua
29 maggio 2017

Smau Berlin | Italy Restarts Up in Berlin in programma il 14 15 e 16 giugno

Continua
21 maggio 2017

Amazon Echo Look: adesso la videocamera ci dice come vestire

Continua
18 maggio 2017

Come aggiornare Windows per proteggersi da WCry, WannaCry e WanaCrypt0r

Continua
15 maggio 2017

Attacco Hacker globale – Come difendersi da WCry, WannaCry e WanaCrypt0r

Continua
15 maggio 2017

Cyber Security – Le polizze cyber risk e le metodologie di indennizzo

Continua
14 maggio 2017

Hack Apple – HandBrake nasconde un malware che infetta i Mac

Continua
13 maggio 2017

Sanzione da 3 milioni di euro a WhatsApp per la condivisione dei dati con Facebook

Continua
7 maggio 2017

Modalità Navigazione in incognito – Tutto quello che devi sapere

Continua
5 maggio 2017

Gmail sotto attacco – Come riconoscere e difendersi dal phishing

Continua
4 maggio 2017

Dronehacks – Come Hackerare un Drone in 11 secondi e l’Exploit Mavlink

Continua
17 aprile 2017

Hack iOS iPhone iPad con Metasploit usando Kali Linux

Continua
3 aprile 2017

Adolescenti in Rete tra CYBERBULLISMO e SEXTING e come avviene l’ADESCAMENTO via internet

Continua
30 marzo 2017

Twitoor – La botnet per Android che coivolge gli utenti di Twitter

Continua
29 marzo 2017

PoisonTap – Come hackerare un computer via USB con Raspberry Pi Zero e codice Node.js

Continua
28 marzo 2017

DDoS Attack – Storia ed evoluzione della frontiera del Cybercrimine

Continua
27 marzo 2017

Facebook Messenger condividere la posizione in tempo reale con Live Location

Continua
26 marzo 2017

La botnet Necurs adesso è in grado di lanciare attacchi DDoS

Continua
22 marzo 2017

Android Security Year in Review – Report annuale sulla sicurezza

Continua
22 marzo 2017

WhatsApp – Come spiare un contatto e ricevere una notifica quando è online

Continua
21 marzo 2017

Outlook.com is DOWN under Ddos attack globally

Continua
21 marzo 2017

Hack iCloud – Apple minacciata da presunti hacker

Continua
20 marzo 2017

Come le app rubano la memoria e la loro vita segreta

Continua
19 marzo 2017

Cybersecurity Summit 2015 – Roma – Cyber Threats e Cyber Warfare

Continua
18 marzo 2017

Gli italiani sempre più connesi ed online: quanti sono e come usano la rete

Continua
16 marzo 2017

Hacking WhatsApp and Telegram – Ecco le vulnerabilità dei due servizi di instant messaging

Continua
14 marzo 2017

Social Privacy – Come tutelarsi nell’era dei Social Network

Continua
25 febbraio 2017

Come trasferire file ed impostazioni da un computer vecchio ad un computer nuovo

Continua
0