研究人員已經(jīng)披露了流行軟件應(yīng)用程序中的重大安全漏洞，這些漏洞可能被濫用以停用其保護并控制允許列出的應(yīng)用程序，以惡意軟件的名義執(zhí)行惡意操作，使用此技巧繞過反病毒解決方案中的勒索軟件防御。

　　盧森堡大學(xué)和倫敦大學(xué)的學(xué)者詳細介紹了這兩次攻擊https://dl.acm.org/doi/10.1145/3431286，目的是繞過反病毒程序提供的受保護文件夾功能來加密文件（又名“剪切和鼠標(biāo)”）并禁用它們的實時保護通過模擬鼠標(biāo)“點擊”事件（又名“幽靈控制”）。

　　盧森堡大學(xué)安全、可靠性和信任跨學(xué)科中心首席科學(xué)家 Gabriele Lenzini 教授說：

　　反病毒軟件提供商始終提供高水平的安全性，它們是日常打擊黑客的重要組成部分。但他們現(xiàn)在正在與擁有越來越多的資源、技術(shù)對抗能力的黑客對抗。

　　換句話說，惡意軟件緩解軟件的漏洞不僅會允許未經(jīng)授權(quán)的代碼關(guān)閉其保護功能，反病毒供應(yīng)商提供的受保護文件夾解決方案中的設(shè)計漏洞可能會被勒索軟件濫用，以使用已配置的應(yīng)用程序更改文件的內(nèi)容對文件夾進行寫入訪問并加密用戶數(shù)據(jù)，或使用擦除軟件來徹底地銷毀受害者的個人文件。

　　受保護文件夾允許用戶指定需要針對破壞性軟件的附加保護層的文件夾，從而可能阻止對受保護文件夾的任何不安全訪問。

　　研究人員說：“少數(shù)被列入白名單的應(yīng)用程序被授予了寫入受保護文件夾的特權(quán)。然而，被列入白名單的應(yīng)用程序本身并不能避免被其他應(yīng)用程序濫用。因此，這種信任是不合理的，因為惡意軟件可以通過使用白名單應(yīng)用程序作為中介，對受保護的文件夾執(zhí)行操作?！?/p>

　　研究人員設(shè)計的一個攻擊場景顯示，惡意代碼可以用來控制一個可信的應(yīng)用程序，比如Notepad，來執(zhí)行寫操作，并加密存儲在受保護文件夾中的受害者文件。為此，勒索軟件讀取文件夾中的文件，在內(nèi)存中對它們進行加密，并將它們復(fù)制到系統(tǒng)剪貼板中，隨后，勒索軟件啟動記事本，用剪貼板數(shù)據(jù)覆蓋文件夾內(nèi)容。

　　更糟糕的是，通過利用Paint作為可信的應(yīng)用程序，研究人員發(fā)現(xiàn)上述攻擊序列可以被用來用隨機生成的圖像覆蓋用戶的文件，從而永久地破壞它們。

　　另一方面，Ghost Control 攻擊本身可能會產(chǎn)生嚴(yán)重后果，因為通過模擬在反病毒解決方案的用戶界面上執(zhí)行的合法用戶操作來關(guān)閉實時惡意軟件保護可能允許攻擊者刪除和執(zhí)行任何流氓程序從他們控制的遠程服務(wù)器。

　　在研究期間評估的29個反病毒解決方案中，14個被發(fā)現(xiàn)容易受到Ghost Control攻擊，而所有29個被測試的反病毒程序都被發(fā)現(xiàn)有受到上述“剪切-鼠標(biāo)”攻擊的風(fēng)險。研究人員沒有透露受影響的供應(yīng)商的名字。

　　如果有什么區(qū)別的話，這些發(fā)現(xiàn)提醒我們，那些明確旨在保護數(shù)字資產(chǎn)免受惡意軟件攻擊的安全解決方案本身可能存在弱點，從而違背了它們的目的。即使反病毒軟件提供商繼續(xù)加強防御，惡意軟件的作者已經(jīng)通過規(guī)避和混淆戰(zhàn)術(shù)偷偷地越過這些障礙，更不用說通過中毒攻擊使用對抗性輸入繞過他們的行為檢測了。

　　研究人員說：“安全可組合性是安全工程中的一個眾所周知的問題。當(dāng)單獨考慮時，提供某個已知攻擊面的組件在集成到系統(tǒng)中時確實會產(chǎn)生更廣泛的攻擊面。組件之間以及與系統(tǒng)其他部分的交互會創(chuàng)建了一個動態(tài)，攻擊者也可以以設(shè)計師無法預(yù)見的方式與之交互?！?/p>