Win10之家 资讯中心
Win10下载休闲娱乐坊
Win10资讯Win10资源
Win10交流主题壁纸
Win7下载Win8下载

Ghost Windows10 X64纯净专业       Ghost Windows10 X32纯净专业

使用DLL注入绕过Win10 Ransomware保护

2018-10-11 16:57:59来源:Win10作者:Win10之家责编:swin103去评论

 

Win10中,Microsoft添加了一项名为“受控文件夹访问”的新勒索软件保护功能,该功能可用于防止未知程序修改受保护文件夹中的文件。
 
在上周举行的DerbyCon安全会议上,一位安全研究人员展示了勒索软件如何利用DLL注入来绕过受控文件夹访问勒索软件保护功能。
 
使用DLL注入绕过受控文件夹访问
受控文件夹访问是一项功能,允许您保护文件夹及其中的文件,以便只能由列入白名单的应用程序修改它们。白名单应用程序可以是您指定的应用程序,也可以是Microsoft默认列入白名单的应用程序。
 
知道了explorer.exe程序在受控文件夹访问中列入白名单,富士通系统集成实验室有限公司的安全研究员Soya Aoyama想出了一种在启动时将恶意DLL注入资源管理器的方法。由于资源管理器已列入白名单,因此在注入DLL时,它将启动并能够绕过勒索软件保护功能。
 
为此,Aoyama依赖于以下事实:当explorer.exe启动时,它将加载在下面显示的HKEY_CLASSES_ROOT \ * \ shellex \ ContextMenuHandlers注册表项下找到的DLL。

HKEY_CLASSES_ROOT树是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER中的注册表信息的合并。 执行合并时,Windows会以HKCU树中的数据为优先级。
 
这意味着如果HKCU中存在密钥,它将优先于HKLM中的相同密钥,并且是合并到HKEY_CLASSES_ROOT树中的数据。 我知道这可能有点令人困惑,因此您可以阅读本文档以获取更多信息。
 
默认情况下,当资源管理器启动时,它会从HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32密钥加载Shell.dll。 要将恶意DLL加载到explorer.exe中,Aoyama只需创建一个HKCU \ Software \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32密钥并将其默认值设置为恶意DLL。
 
现在,当Explorer.exe被杀死并重新启动时,恶意DLL将在explorer.exe而不是Shell.dll中启动。 您可以在下面看到注入explorer.exe的DLL示例。


不幸的是,这不仅绕过了受控文件夹访问,而且Windows Defender也没有检测到它。 公平地说,根据Aoyama的测试,Avast,ESET,Malwarebytes Premium和McAfee都没有检测到它们 - 所有这些都有勒索软件保护。
 
有关更多详细信息以及查看Aoyama的DerbyCon演讲和演示,您可以查看下面的视频。
 
 
MSRC回应漏洞报告
Aoyama表示,在他发表演讲之前,他已经负责地向微软安全响应中心披露了这个漏洞,并包含了可用于绕过受控文件夹访问的概念验证。



不过,微软并不认为这是一个保证赏金或需要补丁的漏洞。
 
“如果我正确地解释你的发现,这份报告就预测攻击者已经登录了目标账户,”微软对青山的回应表示。 “接下来是通过注册表修改来种植DLL。由于你只能写入HKCU,你将无法影响其他用户,只有你已经通过其他手段妥协的目标。也似乎没有 升级权限,您已经拥有与目标相同的访问级别。“



不幸的是,勒索软件不需要升级特权来加密受害者的计算机。 是的,它需要它来清除影子卷副本,但恶意软件开发人员可以使用其他漏洞或方法来执行vssadmin。
 
这样做可以在没有管理权限的情况下安装恶意软件,并且仍然可以绕过受控文件夹访问的勒索软件保护。 这听起来不是一件好事。

相关文章

百度推荐

旗下网站: Win10之家|

旗下软件: Win10系统|

Win10 - 应用,游戏,下载 - Win10之家

Copyright (C) Swin10.com, All Rights Reserved.

Win10 版权所有 浙ICP备123456789号