Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via” gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno, può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.
Cosa è DoubleAgent
DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).
DoubleAgent può sfruttare:
Ogni versione di Windows (Windows XP a Windows 10)
Ogni architettura di Windows (x86 e x64)
Ogni utente di Windows (SYSTEM / Amministratore / etc.)
Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)
DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.
Codice di iniezione di DoubleAgent
DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.
Persistenza
DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.
Vettori di attacco
Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).
Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”
Installazione
Scaricare il codice sorgente DoubleAgent.
Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
Copiare l’intera cartella /bin nella macchina di destinazione.
Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.
La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.
DoubleAgent Zero-Day Attacking Norton Antivirus
Vulnerable Antiviruses
L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.
Questo sito Web utilizza i cookie in modo da poterti offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser e svolgono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web ritieni più interessanti e utili.
Puoi modificare le tue preferenze in qualsiasi momento tramite il pannello delle impostazioni.
Cookie strettamente necessari
I cookie strettamente necessari rimangono essere sempre attivati per poter salvare le tue preferenze (come ad esempio i carrelli) per fornire funzionalità ed erogare servizi di sicurezza e qualità.
Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciò significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.
Cookie di terze parti
Questo sito utilizza Google Analytics e Facebook Pixel per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine più popolari. Mantenere abilitato questo cookie ci aiuta a migliorare il nostro sito web per fornire funzionalità ed erogare servizi di sicurezza e qualità, fornire, monitorare e gestire i servizi, proteggerti da spam, attività fraudolente e illeciti misurando il coinvolgimento e le statistiche.
Attiva i cookie strettamente necessari così da poter salvare le tue preferenze!
Cookie & Privacy Policy
Consulta la nostra Policy sulla Privacy e sui Cookie qui