恶意软件可绕过杀毒系统 29种杀毒软件均可受到Cut-and-Mouse威胁

Posted 中科天齐软件原生安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了恶意软件可绕过杀毒系统 29种杀毒软件均可受到Cut-and-Mouse威胁相关的知识,希望对你有一定的参考价值。

虽然有大量杀毒软件来保护计算机及应用程序安全,但这并不意味着网络攻击者没有作案的机会,他们通过一些手段绕过杀毒软件的防御,并有可能利用代码漏洞实施远程恶意操控。

悟空静态代码检测

网络安全研究人员披露了流行软件应用程序的重大安全漏洞,这些系统漏洞可能会被利用,并使杀毒软件失去防御效果。研究人员称,他们通过绕过杀毒软件提供加密文件的受保护文件夹功能(即“Cut-and-Mouse”),并模拟鼠标“点击”事件(即“Ghost Control”)绕过杀毒软件实时防护功能,来攻击受保护的加密文件夹。

虽然杀毒软件的防御水平在逐步提高,但网络犯罪分子却拥有更多的资源和不断检测系统漏洞的意志。这也就意味着,即便有杀毒软件的存在,系统安全依旧会受到未经授权代码漏洞的影响,同时杀毒软件系统中的漏洞也可能被犯罪分子利用。比如勒索软件通过已配置的应用程序对文件夹改写访问权限,并加密用户数据或实施数据擦除来破坏文件。

受保护的数据应该通过额外的附加保护措施以抵御网络攻击,从而有效阻止来自外界的任何不安全访问。同时,在系统中引入代码时加强代码安全检测可以有效降低安全风险。

少数被列入白名单的应用程序被授予写入受保护文件夹的特权,但这部分应用程序并不能避免受到犯罪分子攻击,从而导致数据泄露或被加密。

在某些场景下,恶意代码可以控制记事本等受信任的应用程序,来执行写入操作并加密存储在受保护的文件夹中,同时将它们复制到剪切板,随后勒索软件启动记事本,用剪切板的内容覆盖文件夹内容。更严重的是,通过利用Paint作为可信的应用程序,上述攻击序列可以用以随机生成图像来覆盖用户文件,从而永久摧毁文件。

另一方面,Ghost Control攻击本身可能会带来严重后果,因为在拥有杀毒软件的机器上通过受信任的程序执行合法操作,可以关闭杀毒软件程序,同时通过远程操控在受害机器上执行任何流氓程序。

研究发现,目前在29种防病毒软件中,14种容易受到Ghost Control攻击,而测试的所有29种防病毒软件都受到Cut-and-Mouse攻击的威胁。这次研究表明,防病毒软件并不是万能的,因为软件本身就可能存在缺陷。因此在不断加强杀毒软件本身防御功能的同时,也要时刻警惕代码缺陷及系统漏洞带来的网络攻击。

网络安全防御本身就是一个组合模式,在单独考虑某一部分时,集成到系统中的安全组件可能也为网络攻击提供了更宽泛的攻击面。因此从静态代码安全到应用系统上线部署,在整个流程都应该做好安全检测及防御,通过不同组件之间相互作用,创建一个更加完善的防御网。

以上是关于恶意软件可绕过杀毒系统 29种杀毒软件均可受到Cut-and-Mouse威胁的主要内容,如果未能解决你的问题,请参考以下文章

Bashware技术:助力恶意软件利用Windows 10的Linux Shell绕过安全软件

Linux操作系统可用的杀毒软件都有哪些?

AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

Linux环境中Clamav杀毒软件详细使用步骤

AV-TEST杀毒软件能力测试(2018年1月-12月)杀毒软件排名

CentOS下杀毒工具ClamAV安装