보안 연구원들은 공격자가 Microsoft의 Application Verifier 도구를 사용하여 다양한 안티 바이러스 제품을 인수 할 수 있음을 발견했습니다. 이스라엘의 보안 회사 인 Cybellum은 DoubleAgent라는 새로운 공격 방법이 McAfee, Panda, Avast, AVG, Avira, F-Secure, Kaspersky, Malwarebytes, Bitdefender, Trend Micro, Comodo 등 바이러스 공격을 방지하기 위해 만들어진 Windows 도구를 이용한다고 주장합니다. 및 ESET – 악성 코드 역할을합니다.

Cybellum은 DoubleAgent 공격은 다른 안티 바이러스 제품도 손상시킬 수 있다고 말합니다. 이 방법은 버그를 감지하고 타사 Windows 프로그램의 보안을 강화하는 기능인 런타임 검증 시스템 인 Microsoft Application Verifier를 조작하여 작동합니다. 이 도구는 Windows XP에서 Windows 10까지 포함되어 있습니다.

DoubleAgent 작동 방식

Cybellum은 DoubleAgent의 작동 방식을 설명했습니다.

우리 연구원은 문서 검증되지 않은 Application Verifier 기능을 발견하여 공격자가 표준 검증기를 자신의 사용자 정의 검증기로 대체 할 수있게했습니다. 공격자는이 기능을 사용하여 사용자 지정 검증자를 모든 응용 프로그램에 주입 할 수 있습니다. 사용자 지정 검증자가 주입되면 공격자는 이제 응용 프로그램을 완전히 제어 할 수 있습니다. 응용 프로그램 검증 도구는 버그를 발견하고 수정하여 응용 프로그램 보안을 강화하기 위해 만들어졌으며 아이러니하게도 DoubleAgent는이 기능을 사용하여 악의적 인 작업을 수행합니다.

문제는 Windows에있는 것이 아니라 바이러스 백신 제품을 제공하는 보안 공급 업체에 있습니다. Cybellum은 DoubleAgent를 사용하여 취약한 바이러스 백신 프로그램을 사용하는 조직을 공격 할 수 있다고 주장합니다. Malwarebytes, AVG 및 Trend Micro는 해당 제품의 문제를 해결 한 공급 업체 중 일부입니다. Windows Defender는 보호 된 프로세스라는 Windows 메커니즘을 사용하므로 DoubleAgent에 면역이되는 유일한 바이러스 백신 제품인 것 같습니다. 이 메커니즘은 사용자 모드에서 실행되는 맬웨어 방지 서비스를 보호합니다.

완화

Microsoft는 신뢰할 수있는 서명 된 코드로드를 허용하는 방법으로 보호 된 프로세스를 제공합니다. 따라서 공격자는 새로운 제로 데이 기술을 코드로 찾더라도 바이러스 백신에 대해 DoubleAgent를 사용할 수 없습니다. Cybellum이 제공하는 GitHub에서 개념 증명 공격 코드를 사용할 수 있습니다.