多数杀软存在SSDT拦截漏洞
据国外媒体报道,近日,来自权威反病毒测试实验室MatousecProject的一份研究报告显示,系统关键保护体制的作用在使用过程中很难发挥作用,甚至大部分杀软产品也面临被恶意代码轻易绕过的命运。
据悉,研究前提假设互联网恶意攻击随时随地可能发生,杀软产品的应对策略是提供主机入侵防御系统(用于监控应用程序行为和拦截不明威胁)发挥防御效用。
但是根据Matousec的结论,多数杀软开发者为了实现这一目的,通常要依赖于其他应用程序发出的Hook Implementations技术。而这一技术使得低级别保护设置难以实现拦截指令,从而成为黑客攻击的薄弱点。
尤其体现在使用SSDT(系统服务描述符表)或其他内核模式拦截的产品都存在类似问题。上图是Matousec提供的资料,在对数十款主流杀软进行定向测试后发现,均存在不同程序的安全漏洞。
该问题的严重性在于,黑客既不需要高优先级也不需要管理员权限,需要做的仅是绕过处于“低安全级别”的保护机制,然后向目标系统植入恶意代码即可。
Metasploit实验室首席工程师HD·摩尔认为,现实情况是,以M开头的某著名杀软为例,用户即使开启防护功能也将被迫执行安装恶意程序,还会自动移除杀软主程序。
业界对该问题的争论持续了很长一段时间,因为迄今为止该类型恶意攻击比较罕见。另外,多核处理器对其有免疫作用,所以未能引起大范围关注。但部分杀软厂商已经计划在下一个版本中停止使用SSDT拦截技术,彻底杜绝潜在威胁。
|
|
||||
 |
||||
|
|
|
||||
|
|
||||
|
|
|
||||
|
|
||||
|
|