研究人員已經(jīng)披露了流行軟件應(yīng)用程序中的重大安全漏洞，這些漏洞可能被濫用以停用其保護(hù)并控制允許列出的應(yīng)用程序，以惡意軟件的名義執(zhí)行惡意操作，使用此技巧繞過(guò)反病毒解決方案中的勒索軟件防御。

　　盧森堡大學(xué)和倫敦大學(xué)的學(xué)者詳細(xì)介紹了這兩次攻擊https://dl.acm.org/doi/10.1145/3431286，目的是繞過(guò)反病毒程序提供的受保護(hù)文件夾功能來(lái)加密文件（又名“剪切和鼠標(biāo)”）并禁用它們的實(shí)時(shí)保護(hù)通過(guò)模擬鼠標(biāo)“點(diǎn)擊”事件（又名“幽靈控制”）。

　　盧森堡大學(xué)安全、可靠性和信任跨學(xué)科中心首席科學(xué)家 Gabriele Lenzini 教授說(shuō)：

　　反病毒軟件提供商始終提供高水平的安全性，它們是日常打擊黑客的重要組成部分。但他們現(xiàn)在正在與擁有越來(lái)越多的資源、技術(shù)對(duì)抗能力的黑客對(duì)抗。

　　換句話說(shuō)，惡意軟件緩解軟件的漏洞不僅會(huì)允許未經(jīng)授權(quán)的代碼關(guān)閉其保護(hù)功能，反病毒供應(yīng)商提供的受保護(hù)文件夾解決方案中的設(shè)計(jì)漏洞可能會(huì)被勒索軟件濫用，以使用已配置的應(yīng)用程序更改文件的內(nèi)容對(duì)文件夾進(jìn)行寫入訪問(wèn)并加密用戶數(shù)據(jù)，或使用擦除軟件來(lái)徹底地銷毀受害者的個(gè)人文件。

　　受保護(hù)文件夾允許用戶指定需要針對(duì)破壞性軟件的附加保護(hù)層的文件夾，從而可能阻止對(duì)受保護(hù)文件夾的任何不安全訪問(wèn)。

　　研究人員說(shuō)：“少數(shù)被列入白名單的應(yīng)用程序被授予了寫入受保護(hù)文件夾的特權(quán)。然而，被列入白名單的應(yīng)用程序本身并不能避免被其他應(yīng)用程序?yàn)E用。因此，這種信任是不合理的，因?yàn)閻阂廛浖梢酝ㄟ^(guò)使用白名單應(yīng)用程序作為中介，對(duì)受保護(hù)的文件夾執(zhí)行操作。”

　　研究人員設(shè)計(jì)的一個(gè)攻擊場(chǎng)景顯示，惡意代碼可以用來(lái)控制一個(gè)可信的應(yīng)用程序，比如Notepad，來(lái)執(zhí)行寫操作，并加密存儲(chǔ)在受保護(hù)文件夾中的受害者文件。為此，勒索軟件讀取文件夾中的文件，在內(nèi)存中對(duì)它們進(jìn)行加密，并將它們復(fù)制到系統(tǒng)剪貼板中，隨后，勒索軟件啟動(dòng)記事本，用剪貼板數(shù)據(jù)覆蓋文件夾內(nèi)容。

　　更糟糕的是，通過(guò)利用Paint作為可信的應(yīng)用程序，研究人員發(fā)現(xiàn)上述攻擊序列可以被用來(lái)用隨機(jī)生成的圖像覆蓋用戶的文件，從而永久地破壞它們。

　　另一方面，Ghost Control 攻擊本身可能會(huì)產(chǎn)生嚴(yán)重后果，因?yàn)橥ㄟ^(guò)模擬在反病毒解決方案的用戶界面上執(zhí)行的合法用戶操作來(lái)關(guān)閉實(shí)時(shí)惡意軟件保護(hù)可能允許攻擊者刪除和執(zhí)行任何流氓程序從他們控制的遠(yuǎn)程服務(wù)器。

　　在研究期間評(píng)估的29個(gè)反病毒解決方案中，14個(gè)被發(fā)現(xiàn)容易受到Ghost Control攻擊，而所有29個(gè)被測(cè)試的反病毒程序都被發(fā)現(xiàn)有受到上述“剪切-鼠標(biāo)”攻擊的風(fēng)險(xiǎn)。研究人員沒(méi)有透露受影響的供應(yīng)商的名字。

　　如果有什么區(qū)別的話，這些發(fā)現(xiàn)提醒我們，那些明確旨在保護(hù)數(shù)字資產(chǎn)免受惡意軟件攻擊的安全解決方案本身可能存在弱點(diǎn)，從而違背了它們的目的。即使反病毒軟件提供商繼續(xù)加強(qiáng)防御，惡意軟件的作者已經(jīng)通過(guò)規(guī)避和混淆戰(zhàn)術(shù)偷偷地越過(guò)這些障礙，更不用說(shuō)通過(guò)中毒攻擊使用對(duì)抗性輸入繞過(guò)他們的行為檢測(cè)了。

　　研究人員說(shuō)：“安全可組合性是安全工程中的一個(gè)眾所周知的問(wèn)題。當(dāng)單獨(dú)考慮時(shí)，提供某個(gè)已知攻擊面的組件在集成到系統(tǒng)中時(shí)確實(shí)會(huì)產(chǎn)生更廣泛的攻擊面。組件之間以及與系統(tǒng)其他部分的交互會(huì)創(chuàng)建了一個(gè)動(dòng)態(tài)，攻擊者也可以以設(shè)計(jì)師無(wú)法預(yù)見(jiàn)的方式與之交互。”