Mostra tutti

DoubleAgent – Come trasformare l’antivirus in un Virus

DoubleAgent – Come trasformare l’antivirus in un Virus

Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via”  gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno,  può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.

Cosa è DoubleAgent

DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).

DoubleAgent può sfruttare:

  • Ogni versione di Windows (Windows XP a Windows 10)
  • Ogni architettura di Windows (x86 e x64)
  • Ogni utente di Windows (SYSTEM / Amministratore / etc.)
  • Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)

DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.

Codice di iniezione di DoubleAgent

DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.

Persistenza

DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.

Vettori di attacco

  • Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
  • Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
  • Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
  • Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
  • Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).

Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”

Installazione

  1. Scaricare il codice sorgente DoubleAgent.
  2. Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
  3. Copiare l’intera cartella /bin nella macchina di destinazione.
  4. Eseguire il programma di installazione:
    Usage: DoubleAgent.exe install\uninstall\repair process_name eg DoubleAgent.exe install cmd.exe

    Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.

  5. La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.

DoubleAgent Zero-Day Attacking Norton Antivirus

Vulnerable Antiviruses

L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

 

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at Rocco Balzama Digital Agency
Ethical & Growth Hacker | CEH | OSCP | Information Security Senior Manager | Data Governance & Privacy Solutions | Marketing Manager | Cyber Coaching | Penetration Tester... Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera... ancora oggi, con lo stesso entusiasmo che avevo da bambino aiuto le aziende a proteggersi ed evolversi nel mondo digitale.
Rocco Balzamà

@roccobalzama

Ti potrebbero interessare

9 Aprile 2019

SMAU | Italy RestartsUp in London – Meet the Made in Italy Innovation

Continua
2 Aprile 2019

Penetration tester su piattaforma Windows – Comando VM Windows Offensive Distribution

Continua
15 Marzo 2019

Android Rogue Adware – Ecco la lista delle applicazioni infette dal codice “Simbad”

Continua
15 Marzo 2019

Educazione civica digitale e alla sicurezza online in Italia

Continua
12 Marzo 2019

Rischi e consigli per i pagamenti “Contactless”

Continua
11 Marzo 2019

Servizio di Scambio File in ambito eBay

Continua
27 Febbraio 2019

Come usare Metasploit Cheat Sheet

Continua
27 Febbraio 2019

Quanto la realtà virtuale influenza la pubblicità e le attività di advertising

Continua
9 Febbraio 2019

Password Checkup – Lo strumento di Google che controlla le credenziali compromesse

Continua
1 Febbraio 2019

Safer Internet Day 2019 (SID) – Insieme per un internet migliore

Continua
7 Gennaio 2019

Cosa sono le BOTNET – Come proteggersi e rimuovere le infezioni

Continua
4 Gennaio 2019

Hackers Leak Personal Data in Germania – Online i dati di politici e personaggi noti

Continua
31 Dicembre 2018

Cybersecurity: ecco i passi avanti dell’Italia

Continua
17 Dicembre 2018

Malware Shamoon – Attacco di cyber sabotaggio contro Saipem

Continua
10 Dicembre 2018

#OpPaperstorm.it – Come diventare un attivista di Anonymous Italia

Continua
29 Novembre 2018

GDPR data breach notification – Notifica della violazione dei dati GDPR

Continua
27 Novembre 2018

Sei stato hackerato? Ecco le informazioni utili a denunciare un accesso non autorizzato

Continua
14 Novembre 2018

#saveyourinternet – La campagna contro l’articolo 13

Continua
13 Novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 Novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 Novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 Ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 Ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 Ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 Ottobre 2018

Anonymous Million Mask March 2018

Continua
13 Ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
10 Ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
8 Ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
8 Ottobre 2018

Perche usare il Cloud Storage e Cloud Computing

Continua
5 Ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
0