恶意应用程序利用新技巧绕过 Windows 安全警报长达六年

Elastic 安全实验室揭露了攻击者可以在不触发 Windows 安全警告的情况下运行恶意应用程序的一系列方法，其中包括一种已使用了六年的方法。

该研究的重点是如何绕过 Windows SmartScreen 和智能应用控制 (SAC)，这两项内置保护措施分别可以防止运行 Windows 8 和 Windows 11 中从网络下载的潜在恶意软件。

Elastic 技术主管乔·德西蒙 (Joe Desimone) 发现的技术中，有一种被他称为“LNK Stomping”的技术，这是 Windows 快捷方式文件 (.LNK) 处理方式中的一个漏洞，会导致 Windows 的Web 标记(MotW) 无效 - Web 标记是放置在下载文件上的数字标签，如果执行则可能是恶意的。

SmartScreen 仅扫描带有 MotW 标记的文件，并且 SAC 设置为阻止带有标记的某些文件类型，因此任何可以绕过 MotW 的方法自然会给恶意软件攻击者带来好处。

这远非多年来引入的第一个 MotW 绕过技术， 但 事实上它已经使用了很长时间，而且正如 Desimone 所说，利用起来“很容易”，因此值得防御者花一些时间来了解它的工作原理。

但目前能提供的只有这些：理解。研究人员表示，Elastic 已与微软就缓解措施展开合作，而这家科技巨头表示可能会在稍后修复该问题 — 此处不承诺提供修补。

这种“简单”的技术涉及使用非标准目标路径或内部结构制作 LNK 文件。这会迫使 Windows 资源管理器在启动恶意应用程序之前纠正这些小错误，但在纠正这些错误的过程中，MotW 会被删除，这意味着 SmartScreen 和 SAC 不会将其标记为恶意应用程序。

Desimone表示触发此漏洞的最简单方法是在目标可执行文件路径的某处添加一个句点或空格。例如，类似 的内容target.exe.即可起作用.target.exe。

然后Windows资源管理器会识别目标路径中的错误并搜索真正的可执行文件，更正目标路径，并更新文件，进而删除 MotW。

“我们在VirusTotal中发现了多个存在漏洞的样本，表明该漏洞已被广泛利用，” Desimone表示。“发现的最古老的样本是六年前提交的。” 

“我们还向 MSRC 披露了该漏洞的详细信息。它可能会在未来的 Windows 更新中得到修复。我们将发布此信息以及检测逻辑和对策，以帮助防御者在补丁发布之前识别此活动。”

同时建议安全专家根据SmartScreen和SAC显示的覆盖差距调整他们的检测工程。

其他绕过方法SmartScreen 和 SAC 都是基于信誉的保护措施，历史上尝试过但难以执行的绕过这些保护措施的方法是用代码签名证书对恶意应用程序进行签名。

理论上，这些应该很难获得，因为证书颁发机构应该只向合法企业颁发这些证书，尽管这仍然是一种可行的做法。

德西蒙还强调了其他一些绕过基于声誉的保护的方法，其中包括一种他称之为“声誉劫持”的技术，该技术涉及识别具有良好声誉的现有程序并以恶意方式对其进行干扰。

研究人员表示，脚本主机是此类攻击的理想选择，尽管任何无需任何通用行参数即可控制的应用程序都可以。如果它包含外部函数接口 (FFI) 功能，那就更好了，因为这可用于将坏代码加载到内存中。他说，Lua、Node.js 和 AutoHotkey 解释器是重新利用的理想目标。

信誉播种似乎最适合与 SAC 配合使用。Desimone 表示，SmartScreen 在信任应用程序之前设置了更高的门槛。这种攻击涉及攻击者删除看似值得信赖但可以在以后利用的二进制文件，例如在满足某些条件时。例如，它还可能包含攻击者以后可以利用的漏洞。

最后，Desimone 表示，篡改声誉也是一种选择。这种方法涉及仔细更改 SAC 认为是良性的应用程序的特定代码部分，以支持攻击，同时保持其良性声誉。

“通过反复试验，我们可以识别出可以安全篡改且保持原有声誉的部分。我们制作了一个篡改的二进制文件，其中包含一个 Microsoft 或 SAC 从未见过的独特哈希值。这嵌入了一个‘执行计算’shellcode，可以在强制模式下通过 SAC 执行，”Elastic 技术负责人说。

分析详情：

https://www.elastic.co/security-labs/dismantling-smart-app-control

原文始发于微信公众号（独眼情报）：恶意应用程序利用新技巧绕过 Windows 安全警报长达六年