研究人员演示EDR和杀毒软件如何对用户进行武器化

在不同的端点检测和响应（EDR）和防病毒（AV）产品中已经披露了严重的安全漏洞，这些漏洞可能被利用来将其转变为数据擦除器。

SafeBreach实验室的研究人员Or Yair说：“这种擦拭器在没有特权的用户的许可下运行，但它能够擦除系统上的几乎所有文件，包括系统文件，并使计算机完全无法启动”。“它在不实现触及目标文件的代码的情况下完成了所有这些，使其完全无法检测”。

EDR软件在设计上能够持续扫描机器中潜在的可疑和恶意文件，并采取适当的措施，例如删除或隔离这些文件。

简而言之，这一想法是欺骗易受攻击的安全产品删除系统上的合法文件和目录，并通过使用特制的路径使机器无法运行。

这是通过利用所谓的连接点（也称为软链接）实现的，其中一个目录充当计算机上另一个目录的别名。

换句话说，在EDR软件识别文件为恶意文件并试图从系统中删除文件的窗口之间，攻击者使用连接点将软件指向不同的路径，如C:\drive。

然而，这种方法并没有导致擦除，因为EDR在文件被标记为恶意后阻止了对文件的进一步访问。更重要的是，如果用户删除了恶意文件，该软件足够聪明，能够检测到删除并阻止自己对其进行操作。

最终的解决方案是一个名为合气道（Aikido）的擦拭器工具，它通过在诱饵目录中创建恶意文件并不授予任何权限来触发特权删除，从而导致EDR将删除推迟到下次重新启动。

给定这个新的攻击间隔，对手所要做的就是删除包含恶意文件的目录，创建一个连接点指向要删除的目标目录，然后重新启动系统。

该技术的成功武器化可能导致系统文件（如驱动程序）的删除，从而阻止操作系统启动。它还可以用来从管理员用户目录中删除所有文件。

在测试的11款安全产品中，有6款易受零日雨刮器攻击，促使供应商发布更新以解决该缺陷-

• 电子邮箱2022-37971（CVSS评分：7.1）-Microsoft Defender和Defender for Endpoint
• 电子邮箱2022-45797（CVSS评分：不适用）-Trend Micro Apex One
• 电子邮箱2022-4173（CVSS评分：8.8）-Avast和AVG Antivirus

Yair说：“雨刮器使用系统上最受信任的实体EDR或AV执行恶意操作”。“EDR和AV不会阻止自己删除文件”。