[[195167]]

安全專家稱已經(jīng)發(fā)現(xiàn)了一種可以繞過Windows PatchGuard保護(hù)，并將惡意程序鉤子植入至Windows內(nèi)核的方法。這也意味著攻擊者可以在曾被認(rèn)為是堅(jiān)不可摧的系統(tǒng)上安裝rootkit程序。

PatchGuard以內(nèi)核修改保護(hù) (KPP)而被人們所熟知，也是微軟在Windows 64位版本的系統(tǒng)上做出的重要安全舉措，其可以有效的防止第三方代碼，使用其他例程來修補(bǔ)Windows內(nèi)核。

PatchGuard從2005年推出至今，從Windows XP開始已經(jīng)阻止了大多數(shù)在64位版本上運(yùn)行的rootkit。

GhostHook攻擊利用了Intel PT功能

近日，來自CyberArk的安全研究人員發(fā)表了一項(xiàng)名為GhostHook的新技術(shù)研究成果。該技術(shù)利用了Intel CPU的功能，并最終成功繞過了PatchGuard。

據(jù)研究人員介紹，GhostHook僅針對(duì)運(yùn)行英特爾®處理器(PT)的系統(tǒng)，英特爾®CPU有個(gè)功能就是使用專門的硬件，來捕獲有關(guān)當(dāng)前軟件執(zhí)行的信息，以幫助調(diào)試操作和檢測惡意代碼。

通常，進(jìn)入英特爾®PT操作，需要攻擊者將惡意功能代碼以打補(bǔ)丁的方式寫入到內(nèi)核級(jí)代碼，而這樣的操作顯然會(huì)被PatchGuard立即阻止和檢測到。

CyberArk的研究人員表示，他們發(fā)現(xiàn)通過為處理Intel PT數(shù)據(jù)包分配一個(gè)非常小的緩沖區(qū)，可以導(dǎo)致CPU緩沖區(qū)空間耗盡，并打開一個(gè)PMI處理程序來管理溢出的代碼。

而PatchGuard對(duì)PMI處理程序沒有進(jìn)行監(jiān)視，因此攻擊者可以通過該P(yáng)MI處理程序hook惡意代碼，并完成內(nèi)核修補(bǔ)操作。

這為攻擊者提供了一種很好的不可檢測的，可以修補(bǔ)Windows內(nèi)核并在Windows 64位版本上嵌入rootkit的方法。

GhostHook技術(shù)甚至還可以運(yùn)用在Windows 10上，然而目前針對(duì)win 10有效的rootkit還不是很多。

微軟否認(rèn)GhostHook攻擊威脅

CyberArk表示，他曾向微軟報(bào)告了關(guān)于GhostHook的攻擊細(xì)節(jié)。但微軟對(duì)此不以為然，并拒絕就此發(fā)布安全更新。微軟表示，他們可能會(huì)在常規(guī)bug修復(fù)周期中修復(fù)該發(fā)現(xiàn)，但不會(huì)將GhostHook視為安全漏洞。

微軟公司表示，攻擊者需要在受感染的機(jī)器上進(jìn)行內(nèi)核級(jí)訪問，以執(zhí)行GhostHook攻擊。而具有內(nèi)核級(jí)權(quán)限的攻擊者，可能還會(huì)執(zhí)行許多其他的惡意操作。因此，用戶應(yīng)將重點(diǎn)放在防止攻擊者獲得這一級(jí)別的訪問權(quán)限上。

CyberArk對(duì)此也做了回應(yīng)，并重申了他的觀點(diǎn)。CyberArk說，這個(gè)問題的重點(diǎn)并不在于攻擊者的訪問級(jí)別上，重點(diǎn)在于攻擊者可以繞過PatchGuard，這也就意味著在64位的Windows版本上為rootkit開啟了一道“上帝之門”，也讓攻擊者在這些系統(tǒng)植入rootkit成為了可能。

目前，惡意軟件市場針對(duì)64位操作系統(tǒng)的惡意軟件占比不到1%，這得益于PatchGuard強(qiáng)大的安全防護(hù)。更多有關(guān)GhostHook攻擊的技術(shù)細(xì)節(jié)請點(diǎn)擊。