Android Security Year in Review – Report annuale sulla sicurezza
22 marzo 2017
La botnet Necurs adesso è in grado di lanciare attacchi DDoS
26 marzo 2017
Mostra tutti

DoubleAgent – Come trasformare l’antivirus in un Virus

DoubleAgent – Come trasformare l’antivirus in un Virus

Il team di ricerca Cybellum.com ha scoperto un nuovo attacco zero-day che prendere il pieno controllo sui principali antivirus di nuova generazione. Invece di “nascondersi e scappare via”  gli aggressori possono dirottare e prendere il pieno controllo sulla antivirus.
L’attacco inizia quando l’Hacker inietta codice nel antivirus sfruttando una nuova vulnerabilità zero-day. Una volta all’interno,  può controllare completamente l’antivirus. Questo attacco è stato denominato DoubleAgent.

Cosa è DoubleAgent

DoubleAgent è una nuova tecnica Zero-Day per l’iniezione di codice e mantenere la persistenza su una macchina (cioè auto-run).

DoubleAgent può sfruttare:

  • Ogni versione di Windows (Windows XP a Windows 10)
  • Ogni architettura di Windows (x86 e x64)
  • Ogni utente di Windows (SYSTEM / Amministratore / etc.)
  • Ogni processo di destinazione, inclusi i processi privilegiati (OS / Antivirus / etc.)

DoubleAgent sfrutta una caratteristica vecchi di 15 anni di Windows e quindi non può essere patchato.

Codice di iniezione di DoubleAgent

DoubleAgent dà l’attaccante la possibilità di iniettare qualsiasi DLL in qualsiasi processo.L’iniezione di codice si verifica molto presto durante l’avvio processo della vittima, dando l’attaccante il pieno controllo del processo e non c’è modo per il processo di proteggersi.La tecnica di iniezione codice è così unico che non è rilevato o bloccato da qualsiasi antivirus.

Persistenza

DoubleAgent può continuare l’iniezione di codice, anche dopo il riavvio che lo rende una tecnica di persistenza perfetto per “sopravvivere” riavvia / aggiornamenti / patch / reinstalla / etc.Una volta che l’attaccante decide di iniettare una DLL in un processo, vengono forzatamente limitati per sempre.Anche se la vittima sarebbe completamente disinstallare e reinstallare il programma, DLL dell’attaccante sarebbe ancora essere iniettato ogni volta che il processo viene eseguito.

Vettori di attacco

  • Attaccare Antivirus & Next Generation antivirus – Prendendo il pieno controllo di eventuali antivirus iniettando codice in esso aggirando tutto il suo meccanismo di autoprotezione.L’attacco è stato verificato e funziona su tutti i principali antivirus incluso ma non limitato a: Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal e Trend Micro.Per maggiori dettagli, checkout nostro Prendendo il controllo completo sopra il vostro antivirus articolo.
  • Installazione persistente Malware – Installazione di malware in grado di “sopravvivere” si riavvia e vengono eseguiti automaticamente una volta che l’avvio del sistema operativo.
  • Permessi di dirottamento – dirottamento i permessi di un processo di fiducia esistente per eseguire operazioni dannose sotto mentite spoglie del processo di fiducia.Dati es Exfiltrating, C e C comunicazione, movimento laterale, furto e cifratura dei dati sensibili.
  • Alterare Processo Comportamento – Modificare il comportamento del processo.ad esempio, installare backdoor, indebolendo gli algoritmi di crittografia, ecc
  • Attaccare altri Utenti / Sessions – Iniezione di codice a processi di altri utenti / sessioni (SYSTEM / Amministratore / etc.).

Esempio di DoubleAgent injection Prima “You are Protected” – Dopo “You Have Been Hacked!”

Installazione

  1. Scaricare il codice sorgente DoubleAgent.
  2. Installare una volta in 86 e una volta in x64.Questo passaggio è fondamentale in quanto crea sia x86 e versioni x64 di DoubleAgentDll.dll che è richiesto al fine di eseguire una corretta installazione.
  3. Copiare l’intera cartella /bin nella macchina di destinazione.
  4. Eseguire il programma di installazione: 
    Usage: DoubleAgent.exe install\uninstall\repair process_name eg DoubleAgent.exe install cmd.exe

    Si noti che il programma di installazione a 32 bit (DoubleAgent_x86.exe) può essere utilizzato sia su Windows x86 e Windows x64.Ma il programma di installazione a 64 bit (DoubleAgent_x64.exe) può essere utilizzato solo su Windows x64.

  5. La prossima volta che il processo di destinazione carica DoubleAgentDll.dll verrà iniettato in esso.

DoubleAgent Zero-Day Attacking Norton Antivirus

Vulnerable Antiviruses

L’elenco dei fornitori di antivirus che sono stati testati e trovati ad essere vulnerabili a DoubleAgent.
I test sono stati fatti su l’ultima versione di Windows 10 x 64 utilizzando il POC code.

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

 

Valutazione Media
Last Reviewer
Reviewed Item
DoubleAgent - Come trasformare l’antivirus in un Virus
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer | IT Cybersecurity Senior Manager
Rocco Balzamà

@roccobalzama

Rocco Balzamà

Ti potrebbero interessare

13 novembre 2018

Adescamento online o Grooming – Cosa è e come comportarsi

Continua
3 novembre 2018

Quali sono le differenze tra Boot UEFI e Legacy BIOS

Continua
2 novembre 2018

Come e perchè devi mettere in sicurezza il tuo sito web

Continua
29 ottobre 2018

Come migliorare la sicurezza informatica del mio computer

Continua
26 ottobre 2018

Ransonware GandCrab – Rilasciato lo strumento di decrittografia dei file

Continua
16 ottobre 2018

Come compremettere il tuo account di WhatsApp rispondendo ad una videochiamata

Continua
15 ottobre 2018

Anonymous Million Mask March 2018

Continua
13 ottobre 2018

Cyber Security Guidelines – Linee guida sulla sicurezza informatica per gli studi legali

Continua
10 ottobre 2018

Inviare e condividere file criptati e protetti gratuitamente con Firefox send

Continua
8 ottobre 2018

Facebook Data Breach – Nel dark web in vendita le credenziali

Continua
8 ottobre 2018

Perche usare il Cloud Storage e Cloud Computing

Continua
5 ottobre 2018

LoJax, il primo rootkit UEFI che infetta il computer

Continua
29 settembre 2018

Come proteggersi da Virus, Malware, Trojan e codice malevolo

Continua
28 settembre 2018

Analisi di una Botnet – Come la Botne Torii attacca i dispositivi IoT

Continua
25 settembre 2018

GDPR & Drone – Come rispettare la privacy se si usa un DRONE

Continua
24 settembre 2018

Instagram Shopping – Come vendere e fare acquisti su Instagram

Continua
23 settembre 2018

Navigare anonimi in internet: Tor – VPN e Proxy a confronto

Continua
22 settembre 2018

Sphere Browser Anonymous – Come navigare anonimi su internet gratuitamente

Continua
21 settembre 2018

jRAT\AdWind diffuso tramite malspam con riferimenti DHL

Continua
20 settembre 2018

I rischi per la sicurezza e la privacy dei dispositivi mobili

Continua
17 settembre 2018

FatturaPA – Fatturazione Elettronica verso la Pubblica Amministrazione

Continua
13 settembre 2018

Nuovo aggiornamento Google Chrome 69.0.3497.92 (offline installer)

Continua
7 settembre 2018

SMAU Milano 2018 – Fieramilanocity dal 23 al 25 ottobre 2018

Continua
4 settembre 2018

Che cos’è una violazione dei dati personali secondo le direttive del GDPR

Continua
4 settembre 2018

Google compie venti anni – La storia del motore di ricerca che ci ha cambiato la vita

Continua
29 agosto 2018

Idee Vincenti Acceleration Program – Come trasformare una idea in impresa

Continua
0
1
×
Come possiamo aiutarti...