CVE-2024-23940 超复杂的 0day APT 超级恶意软件代理 EXE

近期，网络安全研究人员雷纳托·加雷顿（@d Plastico）和米格尔·门德斯（@s1kr10s）携手进行了一项引人注目的研究，发现了防病毒软件内部存在一些不容忽视的隐患。让我们来一探究竟。

揭示恶意软件的新手法：在长时间的研究中，研究人员发现恶意软件愈发巧妙，逐渐采用使用合法应用程序执行代码的手法。尤其是那些带有提升权限签名的二进制文件，成为威胁行为者的理想目标。这些手法不仅能够逃避检测，有时还能通过攻击杀死反病毒解决方案，例如著名的勒索软件 Genshin Impact。

漏洞利用和市场上的防病毒软件：研究人员的研究重点在于分析市场上的防病毒软件，特别是那些需要购买的程序，但我们发现这些问题并非仅存在于商业软件中。以下是我们成功获取并分析的一些免费防病毒程序的漏洞。

为何选择代理 DLL 而非 DLL 劫持？虽然通常采用 DLL 劫持的手法，但我们选择了代理 DLL，这一高级方法可以将功能合并到 DLL 中，而无需修改源代码。

深度解析 BitDefender：为了避免冗余，我们将详细分析 BitDefender，以展示这些方法的应用。通过 Pestudio 工具，我们了解了 updcenter.exe 二进制文件的关键信息，包括 VirusTotal 检测结果。

易受攻击的 BitDefender 二进制文件：借助 Pestudio，我们发现了 BitDefender 的易受攻击的二进制文件，同时确认其合法性。

DLL Export Viewer 的角色：通过 DLL Export Viewer 工具，我们成功提取了 BitDefender 的函数列表，这在后续的分析中非常关键。

DLL 代理的利器：我们深入探讨了为何选择 DLL 代理，并在 Visual Studio Code 中执行了相关操作，从提取函数一直到最终 DLL 编译。

下图这个是代理流程

概念验证：通过一个小实验视频，我们演示了使用易受攻击的二进制文件模拟恶意软件感染的结果。

结论和影响：总的来说，我们的研究揭示了合法防病毒软件中存在的漏洞，对个人用户和企业都带来了重大的影响。

影响程度：尽管这种攻击手法看似简单，却对防病毒系统的信任造成了严重冲击。使用有漏洞的二进制文件不仅暴露了个体系统的安全性，还可能对企业网络安全构成潜在威胁。信任有漏洞的软件的用户可能会面临意想不到的风险，因此企业必须加强产品的安全性，以维护用户的信任，确保有效防御不断复杂化的网络威胁。

原文地址：

https://medium.com/@s1kr10s/av-when-a-friend-becomes-an-enemy-55f41aba42b1

这里公布了一个exp项目：

https://gist.github.com/DanielGibson/f4ea4d46fc279d64a2d35a326e7a1a88