恶意软件可以利用此技巧绕过反病毒解决方案中的勒索软件防御

研究人员发现，流行的防病毒软件应用程序存在严重的安全漏洞，这些漏洞可能会被滥用，以停用其保护功能，并控制所列应用程序，使其能够代表恶意软件执行恶意操作，从而击败反勒索软件防御。

卢森堡和伦敦大学的学者们详细描述了这两次攻击，目的是绕过由反病毒程序提供的受保护文件夹特征来加密文件（又名“剪切和鼠标”），并通过模拟鼠标“点击”事件（AKA“幽灵控制”）来禁用它们的实时保护。

“反病毒软件提供商总是提供高水平的安全性，它们是日常打击犯罪分子的基本要素，”卢森堡大学安全、可靠性和信任跨学科中心首席科学家Gabriele Lenzini教授说。“但他们正在与罪犯竞争，他们现在拥有越来越多的资源、权力和奉献精神。”

换言之，恶意软件缓解软件的缺陷不仅仅允许未经授权的代码关闭其保护功能，反病毒供应商提供的受保护文件夹解决方案中的设计缺陷可能会被滥用，勒索软件可以使用一个提供了对文件夹的写访问权限并加密用户数据的应用程序更改文件内容，或者使用一个不可撤销地销毁受害者个人文件的wipeware。

受保护文件夹允许用户指定需要额外保护层以防破坏性软件的文件夹，从而可能阻止对受保护文件夹的任何不安全访问。

“一小部分白名单上的应用程序被授予写入受保护文件夹的权限，”研究人员说。“但是，白名单上的应用程序本身不受保护，不会被其他应用程序滥用。因此，这种信任是不合理的，因为恶意软件可以通过使用白名单上的应用程序作为中介在受保护的文件夹上执行操作。”

研究人员设计的一个攻击场景显示，恶意代码可用于控制Notepad等受信任的应用程序执行写入操作，并对存储在受保护文件夹中的受害者文件进行加密。为此，勒索软件读取文件夹中的文件，在内存中对其进行加密，并将其复制到系统剪贴板，然后勒索软件启动记事本，用剪贴板数据覆盖文件夹内容。

更糟糕的是，通过利用Paint作为一个受信任的应用程序，研究人员发现上述攻击序列可以用来用随机生成的图像覆盖用户的文件，从而永久销毁它们。

另一方面，Ghost Control攻击本身可能会产生严重后果，因为通过模拟在防病毒解决方案的用户界面上执行的合法用户操作来关闭实时恶意软件保护，可能会允许对手从其控制的远程服务器上删除并执行任何恶意程序。

在研究期间评估的29种防病毒解决方案中，发现其中14种易受Ghost Control攻击，而所有29种测试的防病毒程序都存在被割伤和鼠标攻击的风险。研究人员没有说出受影响的供应商。

如果有什么不同的话，这些发现提醒我们，那些明确设计用于保护数字资产免受恶意软件攻击的安全解决方案本身可能存在弱点，从而无法达到其目的。尽管杀毒软件提供商继续加强防御，但恶意软件作者已经通过规避和模糊策略悄悄越过了这些障碍，更不用说通过中毒攻击使用敌对输入绕过行为检测。

“安全可组合性是安全工程中一个众所周知的问题，”研究人员说。“当隔离时，提供特定已知攻击面的组件在集成到系统中时确实会生成更宽的攻击面。组件相互交互，并与系统的其他部分创建一种动态，攻击者也可以与之交互，并且以设计者无法预见的方式进行交互。”