恶意软件可绕过杀毒系统 29种杀毒软件均可受到Cut-and-Mouse威胁

Posted 2021-06-03 中科天齐软件原生安全

虽然有大量杀毒软件来保护计算机及应用程序安全，但这并不意味着网络攻击者没有作案的机会，他们通过一些手段绕过杀毒软件的防御，并有可能利用代码漏洞实施远程恶意操控。

虽然有大量杀毒软件来保护计算机及应用程序安全，但这并不意味着网络攻击者没有作案的机会，他们通过一些手段绕过杀毒软件的防御，并有可能利用代码漏洞实施远程恶意操控。

网络安全研究人员披露了流行软件应用程序的重大安全漏洞，这些系统漏洞可能会被利用，并使杀毒软件失去防御效果。研究人员称，他们通过绕过杀毒软件提供加密文件的受保护文件夹功能(即“Cut-and-Mouse”)，并模拟鼠标“点击”事件(即“Ghost Control”)绕过杀毒软件实时防护功能，来攻击受保护的加密文件夹。

虽然杀毒软件的防御水平在逐步提高，但网络犯罪分子却拥有更多的资源和不断检测系统漏洞的意志。这也就意味着，即便有杀毒软件的存在，系统安全依旧会受到未经授权代码漏洞的影响，同时杀毒软件系统中的漏洞也可能被犯罪分子利用。比如勒索软件通过已配置的应用程序对文件夹改写访问权限，并加密用户数据或实施数据擦除来破坏文件。

受保护的数据应该通过额外的附加保护措施以抵御网络攻击，从而有效阻止来自外界的任何不安全访问。同时，在系统中引入代码时加强代码安全检测可以有效降低安全风险。

少数被列入白名单的应用程序被授予写入受保护文件夹的特权，但这部分应用程序并不能避免受到犯罪分子攻击，从而导致数据泄露或被加密。

在某些场景下，恶意代码可以控制记事本等受信任的应用程序，来执行写入操作并加密存储在受保护的文件夹中，同时将它们复制到剪切板，随后勒索软件启动记事本，用剪切板的内容覆盖文件夹内容。更严重的是，通过利用Paint作为可信的应用程序，上述攻击序列可以用以随机生成图像来覆盖用户文件，从而永久摧毁文件。

另一方面，Ghost Control攻击本身可能会带来严重后果，因为在拥有杀毒软件的机器上通过受信任的程序执行合法操作，可以关闭杀毒软件程序，同时通过远程操控在受害机器上执行任何流氓程序。

研究发现，目前在29种防病毒软件中，14种容易受到Ghost Control攻击，而测试的所有29种防病毒软件都受到Cut-and-Mouse攻击的威胁。这次研究表明，防病毒软件并不是万能的，因为软件本身就可能存在缺陷。因此在不断加强杀毒软件本身防御功能的同时，也要时刻警惕代码缺陷及系统漏洞带来的网络攻击。

网络安全防御本身就是一个组合模式，在单独考虑某一部分时，集成到系统中的安全组件可能也为网络攻击提供了更宽泛的攻击面。因此从静态代码安全到应用系统上线部署，在整个流程都应该做好安全检测及防御，通过不同组件之间相互作用，创建一个更加完善的防御网。