微软截杀Vista内核渗透 作者称驱动签名无用

　　近日，微软对一款可以帮助恶意代码嵌入Vista内核的应用程序进行了阻杀。这款软件名为Atsiv，可以绕过64位Vista系统中的内核保护功能，安装含有恶意代码的系统驱动程序。

　　赛门铁克安全专家奥利·怀特豪斯在博客中写道，这是“微软64位Vista中所推荐的最强安全功能之一”。

　　Atsiv是一款自由软件工具，由Linchpin Labs和OSR围绕KMCS所开发。通过Atsiv，任意未签名驱动，包括恶意内核驱动可以被加载入64位Vista内核。该工具首先加载其自己的已签名驱动，随后再通过它的PE加载器载入未签名驱动。PE格式是一种数据结构，携带了Windows Vista操作系统加载器管理内含可执行代码的必需信息。

　　怀特豪斯在接受ZDNet采访时说：“Atsiv所携带的驱动并不含恶意代码，但是它可以允许恶意代码进入内核。就好比它在墙上钻了一个大洞，可以允许任何人和物爬进来。”

　　据怀特豪斯称，使用Atsiv，不仅可以使未签名驱动直接加载入内核，同时它还有一个“副作用”：在微软的标准驱动列表中，无法看到该未签名驱动。也就是说，这是一种类Rootkit的行为。

　　怀特豪斯在上月27日的博客中写道：“为了降低这一利用已签名驱动进行自我加载的恶意代码的风险，微软将不得不撤销该签名证书。”

　　在六天后，也就是上周四，微软通过阻杀Atsiv对此做出了回应——其合作伙伴VeriSign撤销了该代码签名密钥。

　　Windows安全架构师思高特·菲尔德在Vista安全博客中写道：“Windows Defender在本月2日发布了一份特征码升级，可以对检测、阻截和移除现有的Atsiv驱动。Atsiv软件分类也与Windows Defender团队用来评定潜在有害软件的特征相一致。微软已经与合作伙伴就代码签名证书认证系统方面进行合作，以解决Atsiv问题。VeriSign已经撤销了Atsiv内核驱动所使用的代码签名密钥。”

　　在他的博客中，菲尔德补充道，微软安全团队正着手在KMCS撤销列表中加入已撤销密钥，作为一项“额外的深度防御措施”。

　　然而，Atsiv软件作者表示，仅仅通过识别恶意代码的作者还无法组织代码的激活。Atsiv开发人员称：“驱动签名无法阻止恶意软件，这仅仅只是封死了攻击者发动攻击的一条小路而已。”

　　来源：风行资讯