近日,微软对一款可以帮助恶意代码嵌入Vista内核的应用程序进行了阻杀。这款软件名为Atsiv,可以绕过64位Vista系统中的内核保护功能,安装含有恶意代码的系统驱动程序。
赛门铁克安全专家奥利·怀特豪斯在博客中写道,这是“微软64位Vista中所推荐的最强安全功能之一”。
Atsiv是一款自由软件工具,由Linchpin Labs和OSR围绕KMCS所开发。通过Atsiv,任意未签名驱动,包括恶意内核驱动可以被加载入64位Vista内核。该工具首先加载其自己的已签名驱动,随后再通过它的PE加载器载入未签名驱动。PE格式是一种数据结构,携带了Windows Vista操作系统加载器管理内含可执行代码的必需信息。
怀特豪斯在接受ZDNet采访时说:“Atsiv所携带的驱动并不含恶意代码,但是它可以允许恶意代码进入内核。就好比它在墙上钻了一个大洞,可以允许任何人和物爬进来。”
据怀特豪斯称,使用Atsiv,不仅可以使未签名驱动直接加载入内核,同时它还有一个“副作用”:在微软的标准驱动列表中,无法看到该未签名驱动。也就是说,这是一种类Rootkit的行为。
怀特豪斯在上月27日的博客中写道:“为了降低这一利用已签名驱动进行自我加载的恶意代码的风险,微软将不得不撤销该签名证书。”
在六天后,也就是上周四,微软通过阻杀Atsiv对此做出了回应——其合作伙伴VeriSign撤销了该代码签名密钥。
Windows安全架构师思高特·菲尔德在Vista安全博客中写道:“Windows Defender在本月2日发布了一份特征码升级,可以对检测、阻截和移除现有的Atsiv驱动。Atsiv软件分类也与Windows Defender团队用来评定潜在有害软件的特征相一致。微软已经与合作伙伴就代码签名证书认证系统方面进行合作,以解决Atsiv问题。VeriSign已经撤销了Atsiv内核驱动所使用的代码签名密钥。”
在他的博客中,菲尔德补充道,微软安全团队正着手在KMCS撤销列表中加入已撤销密钥,作为一项“额外的深度防御措施”。
然而,Atsiv软件作者表示,仅仅通过识别恶意代码的作者还无法组织代码的激活。Atsiv开发人员称:“驱动签名无法阻止恶意软件,这仅仅只是封死了攻击者发动攻击的一条小路而已。”
来源:风行资讯
|