Android Security Year in Review – Report annuale sulla sicurezza
22 marzo 2017
La botnet Necurs adesso è in grado di lanciare attacchi DDoS
26 marzo 2017
Mostra tutti

DoubleAgent – Come trasformare l’antivirus in un Virus

DoubleAgent – Come trasformare l’antivirus in un Virus

Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via”  gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno,  può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.

Cosa è DoubleAgent

DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).

DoubleAgent può sfruttare:

  • Ogni versione di Windows (Windows XP a Windows 10)
  • Ogni architettura di Windows (x86 e x64)
  • Ogni utente di Windows (SYSTEM / Amministratore / etc.)
  • Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)

DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.

Codice di iniezione di DoubleAgent

DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.

Persistenza

DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.

Vettori di attacco

  • Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
  • Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
  • Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
  • Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
  • Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).

Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”

Installazione

  1. Scaricare il codice sorgente DoubleAgent.
  2. Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
  3. Copiare l’intera cartella /bin nella macchina di destinazione.
  4. Eseguire il programma di installazione: 
    Usage: DoubleAgent.exe install\uninstall\repair process_name eg DoubleAgent.exe install cmd.exe

    Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.

  5. La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.

DoubleAgent Zero-Day Attacking Norton Antivirus

Vulnerable Antiviruses

L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

 

Valutazione Media
Last Reviewer
Reviewed Item
DoubleAgent - Come trasformare l’antivirus in un Virus
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer
Rocco Balzamà

@roccobalzama

Ti potrebbero interessare

2 aprile 2018

Come prevenire il cyberbullismo usando l’intelligenza artificiale

Continua
31 marzo 2018

God of War 2018 – L’epico ritorno del guerriero Kratos per PS4

Continua
25 marzo 2018

Habu: Python Network Hacking e Penetration Toolkit

Continua
20 marzo 2018

Come gli Hacker di Prilex clonano carte di credito con Chip e PIN

Continua
6 marzo 2018

Google Multiple vulnerabilities – Aggiornamento di Sicurezza per Android

Continua
3 marzo 2018

Dark Net Market Superlist – La lista dei Market del deep web

Continua
2 marzo 2018

Come prevenire ed affrontare i furti di identità

Continua
1 marzo 2018

Responsabilità del genitore per reati del minore commessi online

Continua
28 febbraio 2018

Come rimuovere gratuitamente Ransomware GANDCRAB e decifrare i file .GDCB

Continua
25 febbraio 2018

Cosa è il Patch Tuesday ed Exploit Wednesday e le implicazione nella cybersecurity

Continua
24 febbraio 2018

Differenze tra Intrusion Detection System e Firewall ed analisi di Intrusion Prevention Systems

Continua
16 febbraio 2018

Come hackerare un smartphone o un tablet via Bluetooth

Continua
14 febbraio 2018

Le vulnerabilità dei sistemi informatici e della rete – Storia ed analisi

Continua
13 febbraio 2018

Amazon Web Services Summit 2018 – Evento dedicato al Cloud AWS

Continua
12 febbraio 2018

Mark Zuckerberg KO su Wired – Inizio del declino di Facebook

Continua
5 febbraio 2018

Smartphone e radiazioni elettromagnetiche – Ecco i modelli con i valori più alti

Continua
3 febbraio 2018

Safer Internet Day 2018 – Crea, connetti e condividi il rispetto: internet migliore comincia con te

Continua
2 febbraio 2018

Cyber security – Cosa è la difesa proattiva, la rilevazione euristica e le classificazione dei Malware

Continua
1 febbraio 2018

Analisi della RAID technology – Trent’anni e non sentirli

Continua
26 gennaio 2018

Data Privacy Day – 28 Gennaio Giornata europea della protezione dei dati

Continua
22 gennaio 2018

WhatsApp Business arriva in Italia. Ecco come funziona

Continua
19 gennaio 2018

Smartphone a scuola – Ecco le regole per utilizzarlo in classe

Continua
10 gennaio 2018

Cosa è il Blue Monday – Il giorno più triste dell’anno

Continua
6 gennaio 2018

Come rubare le credenziali di un account Microsoft Windows usando Word

Continua
6 gennaio 2018

Hack phpMyAdmin – Un bug consente di eliminare tabelle e record dal database

Continua
3 gennaio 2018

Meltdown e Spectre – Le vulnerabilità dei processori che minacciano la sicurezza dei nostri pc

Continua
2 gennaio 2018

The Net Project Tour – La scuola incontra un Hacker. Un viaggio negli abissi di internet

Continua
0