新的GhostHook攻击绕过Windows 10补丁防护

安全内核 kernel protection could allow hackers to plant rootkits on computers running the company's latest and secure operating system, Windows 10.

CyberArk实验室的研究人员开发了一种新的攻击技术，可以让黑客完全绕过PatchGuard，在内核级别钩住恶意内核代码（rootkit）。

PatchGuard或（或内核补丁保护）是一种软件工具，旨在禁止64位版本Windows操作系统的内核进行补丁，防止黑客在内核级别运行rootkit或执行恶意代码。

配音鬼魂钩，这种攻击是CyberArk实验室研究人员所说的第一种攻击技术，可以阻止防御技术绕过PatchGuard，尽管它要求黑客已经出现在受损系统上，并在内核中运行代码。

所以，基本上，这是一次剥削后的攻击。

CyberArk的研究人员说：“[GhostHook]既不是一种提升技术，也不是一种利用技术。这种技术的目的是在利用后的情况下，攻击者可以控制资产。”。

“由于恶意内核代码（rootkit）经常试图在不友好的领域建立持久性，因此隐形技术起着根本性的作用。”

Running Rootkit at Kernel-Level in Windows 10

攻击场景包括首先使用黑客攻击或恶意软件危害目标计算机，然后部署GhostHook在受损的64位Windows 10 PC上建立永久的秘密存在。

一旦受到攻击，攻击者可以在受到攻击的机器的内核中植入rootkit，第三方防病毒和安全产品将完全无法检测到它，而微软的PatchGuard本身也无法检测到它。

CyberArk认为，微软很难修补这个问题，因为这项技术使用硬件来控制关键的内核结构。

GhostHook利用微软实施英特尔PT的弱点

GhostHook攻击绕过了PatchGuard，它利用了微软在英特尔处理器中实现的一个相对较新的功能Intel PT（处理器跟踪）的弱点，特别是在Intel PT与操作系统对话时。

PatchGuard发布数月后，Intel PT使安全供应商能够监视和跟踪在CPU中执行的命令，以便在它们到达主操作系统之前识别漏洞攻击、恶意软件或代码。

尽管这项技术可以被滥用用于合法目的，但攻击者也可以利用“缓冲区已满通知机制”来控制线程的执行。

研究人员说：“我们如何用英特尔PT实现这一点？为CPU的PT数据包分配一个非常小的缓冲区。”，  “这样，CPU将很快耗尽缓冲区空间，并跳转PMI处理程序。PMI处理程序是由我们控制的一段代码，将执行‘挂钩’。”

挂钩技术既有无害（如应用程序安全解决方案、系统实用程序和编程工具）的目的，也有恶意（如rootkit）的目的，可以让黑客控制操作系统或软件的行为方式。

微软没有心情发布修复程序，至少现在是这样

微软没有认为GoSthook是严重威胁，并告诉安全公司，急诊科不认为任何紧急情况需要修补，但可能会在Windows的未来版本中进行处理。

“工程团队已经完成了对该报告的分析，并确定它要求攻击者已经在系统上运行内核代码，”微软发言人说。“因此，这不符合在安全更新中提供服务的标准，但它可能会在Windows的未来版本中得到解决。因此，我已结束此案例。”

针对这份报告，微软还发布了一份声明，内容如下：

“这种技术要求攻击者已经完全破坏了目标系统。我们鼓励客户在网上养成良好的计算习惯，包括在点击网页链接、打开未知文件或接受文件传输时要小心谨慎。”

然而，CyberArk对该公司的回应感到失望，称微软应该意识到PatchGuard是一个内核组件，无论如何都不应该绕过它。