返回目录:文件问题
操作系统的安全性是微软关注的重点之一。新一代Windows的开发人员积极响应针对Windows平台的重要威胁,他们使用了以前只是应用于第三方安全解决方案中的众多安全技术。系统受到了更好的保护,让攻击者更难开展活动。
然而,在某些情况下,有操作系统提供的安全工具并不足够,开发人员只好折衷让第三方的安全工具作为补充。
因为Windows系统的普遍,Windows一直是形形色色的网络犯罪分子攻击的首选目标。每个Windows的版本都会有千千万万的黑客寻找新的赚钱机会。当然,Windows也是白帽子和违法分子作斗争的主战场,白帽子也在寻找Windows系统中的安全隐患。自然卡巴斯基实验室(下文简称“KL”)一直也在进行细致的分析Windows的安全体系中心的变化,以给用户提供最大限度的保护。
这篇文章着重突出了三个Windows10的影响安全的特征,它们分别是Microsoft Edge,基于虚拟化的安全和内置的安全解决方案——Windows Defender。这些给Windows安全体系带来了新功能,但是它们自身也有弱点,在本文中,我们举例子来演示Windows10的保护技术是如何运作的以及它们怎样配合第三方安全解决方案的。
Ⅰ Microsoft Edge
Edge,Microsoft最新的浏览器,目的是替代IE,它包含在Windows10中作为默认浏览器。Microsoft努力地为Edge开发新功能,其中一些与安全有关。
CSP(Content Security Policy)和HSTS(HTTP Strict Transport Security)是用来抵御XSS(Cross-site Scripting)攻击的。这些技术不仅降低了攻击的成功几率,也提醒站长这些攻击的存在。
Content Security Policy,主要是用来定义页面可以加载哪些资源,减少跨站脚本攻击的发生。
HTTP Strict Transport Security (一般简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP。
Cross Site Scripting(通常简写为XSS),跨站脚本攻击。
Microsoft也在想办法使Edge免受漏洞利用的危害,这是IE不安全的祸根。现在通过使用containers和多进程机制,漏洞利用越来越难。而且,SmartScreen也能阻止用户访问带有恶意内容的网页。
SmartScreen 筛选器是Edge中的一种帮助检测仿冒网站的功能。
Edge除了拥有新技术,也不再支持VML,BHO和ActiveX,它们是经常被广告软件和恶意浏览器加载项利用的,这意味着Edge已经免疫了此类威胁。
VML指The Vector Markup Language(矢量可标记语言),可以用来在浏览器中绘制矢量图形。
BHO(IEBrowser Helper Object)是IE的拓展程序,文件格式是DLL。能够对IE浏览器的界面和访问内容进行修改。
ActiveX指面向Microsoft的IE的以OCX为扩展名的OLE控件。
然而浏览器的安全性要在实战中检验。大多数以窃取资金为目的的恶意程序利用网上银行,通过浏览器来攻击,这些浏览器有IE,Chrome,Firefox和Opera等。典型的例子是Zeus(Zbot),Dryeza(Dyre)和Dridex,尽管它们都是老病毒了,但依然被使用着。
通常银行木马经常使用浏览器中间者攻击。大多数的银行木马在攻击时将自己的代码注入浏览器进程,拦截网络交互数据。不过,各种浏览器情况不同,病毒编写者必须不断修改和更新他们的软件,这样才能在可能出现的浏览器和各种版本中运行。
据报道,在2015年11月,Dyreza有了攻击Edge的功能。不过之后,这种木马的僵尸网络活动降至零,木马更新包不再发布,C&C服务器也处于离线状态。
C&C=command-and-control
另一个有名的银行木马Kronos在2016年也盯上了Edge,我们在虚拟机上分析了这个木马。在Kronos的新版本的代码中,我们发现了一个函数检查进程的名称和综合校验码(checksum),以及木马挂钩的函数的hash值。
检测进程名和总合校验值来确定浏览器种类的函数
Kronos检查进程名称, 将字符串转换为小写,计算其校验值,这样获得的hash值会和一张表对比,如果在这张表里找到,木马会挂钩浏览器进程的某个函数。
木马所监测的浏览器进程名称和校验值。
wininet.dll挂钩的函数如下。
Kronos使用splicing挂钩函数,在程序代码首添加一个无条件跳转指令,因为恶意代码是作为一个shellcode被加载而不是library,所以浏览器内置的安全策略不会阻止它。
InternetReadFile function hook in MicrosoftEdgeCP.exe
挂钩函数的处理程序
成功挂钩这些函数后木马可以向Web页面注入数据,它还可让Kronos来获取有关用户的信息,用户的凭据和银行帐户的余额,将用户重定向到钓鱼站点,或银行的合法页面,启用恶意软件找出用户的答复的机密问题,信用卡卡号,日期出生或电话号码。
对一个银行页面的注入
请注意,Kronos目前仅可以攻击32位Windows10的Edge,不过现在有能够在64位Windows10运行的银行木马。
在今年年初,一个Gozi银行木马的变种出现,它被设计来在64位Windows10上使用浏览器中间人攻击的手段来攻击Edge。这个木马将自己的代码注入RuntimeBroker.exe,一旦启动浏览器,它的代码就会注入浏览器的进程。
用于检查进程名来注入的函数的一部分
在某些方面Gozi的这个变种和Kronos一样,它们都挂钩创建和发送HTTP请求的函数。然而,它却替换IAT Poniters,以及函数地址。
检查进程名为每个浏览器配置合适的hook的函数的一部分
HttpSendRequestW hook(Gozi银行木马在MS Edge浏览器中的)
现在Windows Defender已经可以成功封锁当前版本的Kronos和Gozi。然而,新的恶意软件和广告软件将会继续出现,利用Edge实现自己的目的。
Ⅱ 基于虚拟化的安全
在企业版本的Windows10中,微软有了一种新的方法——使用Microsoft Hyper-V来提高安全性,一个应用硬件辅助虚拟化的技术。Virtualization Based Security (基于虚拟化的安全,下文均称VBS)使用一种白名单机制,仅允许受信任的应用程序启动,将最重要的服务以及数据和操作系统中的其他组件隔离。
VBS取决于平台和CPU功能,使用这项技术必须满足下列要求。
Windows10 Enterprise
UEFI固件2.3.1版本+安全启动支持
CPU支持Intel VT-x/AMD-V虚拟化功能
-64位结构
-CPU支持SLAT机制
SLAT(Second Level Address Translation)二级地址转换技术,主要用在Hyper-V中,帮助执行更多内存管理功能,减少在客户机物理机地址和实体机物理地址之间转换的系统资源浪费,减少了运行虚拟机时Hypervisor的CPU和虚拟机的内存占用。
Intel VT-d/AMD-Vi IOMMU
IOMMU指I/O Memory Management Unit,I/O内存管理单元
微软使用Hyper-V hypervisor作为虚拟化平台。虚拟机管理程序包含的代码越少,受到的攻击越少。在这一方面,Hyper-V安全性很高。与以往的Windows系统不同,虚拟机管理程序不是以内核驱动启动,而是在UEFI中在计算机启动的早期启动。
Hyper-V初始化过程
在VBS,虚拟机管理程序活动时,每个虚拟CPU会被分配一个VTL属性,目前使用两个属性,VTL1和VTL0,VTL1权限高于VTL0。
VTL,Virtual Trust Level ,虚拟信任水平。
VTL1(Secure World),VTL0(Normal World)。
安全内核模式(Ring0,VTL1)包含一个最小的内核(SK),一个代码完整模块(CI)和加密模块。单独用户模式(IUM,Ring3,VTL1)包含几个服务,称为Trustlets,和外部甚至这几个服务彼此都是分开的。在VTL0模式中,传统的内核,内核模式驱动程序,进程和服务工作根据前先前的规则运行。
图示两个环境
当虚拟机管理程序处于活动状态时,物理RAM页和它们的属性只能由安全隔离内核(SK)控制。它可以编辑页面属性,阻止/允许在特定页面的读写及执行代码。这可以防止不受信任的代码,受信程序中被恶意篡改的代码的执行,这让泄露受保护的数据更难。
在这种体系结构下,在系统中唯一管理系统中任何代码执行的组件是CI模块,Normal World的内核无法设置内核模式物理页的属性。
Credential Guard
凭据保护是VBS的主要功能之一。它使用隔离技术确保只有受信任的代码可以访问机密。这可以用来抵挡DMA攻击(直接内存访问攻击),以及pass-the-hash和pass-the-ticket攻击。
系统信息,凭据保护和HVCI。
我们已经测试了此项技术,尝试使用DMA获取机密数据。我们使用了Mimikatz和Inception hacker tools。这些攻击手段都没有成功。这些黑客工具对于凭据保护无能为力。
使用Inception tool的DMA的攻击。
Device Guard
设备保护是VBS的一部分,是AppLocker的后续。它控制着所有代码的启动和执行:可执行文件,动态链接库,内核模式驱动和脚本(比如PowerShell)。这基于系统管理员配置的代码完整性策略来识别程序是否受信任。
使用设备保护的主要困难是创建一个恰当的策略,有时甚至对有经验的系统管理员也是难事。一般配置过程如下所示:
在计算机上启用Windows10的VBS机制。
准备Windows系统的主映像。
安装所有需要的软件。
创建一个基于某些规则的代码完整性策略,将其设为审查模式一段时间,在这段时间里,仍然可以添加更改软件。
看CI事件的事件日志
执行任何必要的策略调整,比如签署未签名的软件。
整合原有的规则和在审查模式中的调整。
在代码完整性策略中关闭审查模式,使用“enforced mode”。
给最终用户分发准备好的策略。
代码完整性策略定义在用户模式(UMIC)和内核模式(KMIC)执行代码的条件。Windows内核本身的安全启动有安全启动技术提供。代码完整性策略需要维护和根据软件的要求更新。
为了不让程序任意存取,很多CPU架构都支持Kernel mode与User mode两种执行模式。当CPU运行于Kernel mode时,任务可以执行特权级指令,对任何I/O设备有所有的访问权,还能够访问任何虚拟地址和控制虚拟内存硬件;这种模式对应x86的ring0层,操作系统的核心部分,包括设备驱动程序都运行在该模式。当CPU运行于User Mode时,硬件防止特权指令的执行,并对内存和I/O空间的访问操作进行检查,如果运行的代码不能通过操作系统的某种门机制,就不能进入内核模式;这种模式对应于x86的ring3层,操作系统的用户接口部分以及所有的用户应用程序都运行在该级别。
除了完整的策略,还有其他对执行代码的限制。只有在证书验证后,物理内存也才会获得“可执行”的属性。而且,内核模式的页不能同时有可写和可执行两种属性。这可以在内核模式中防御大多数的漏洞利用攻击和hook。如果尝试修改内核模式页面具有“可读”和“可执行”属性的内容,这将引发异常。如果不进行处理,Windows 将停止工作并蓝屏。当虚拟机管理程序的所有安全选项都激活时,如安全启动,TPM,IOMMU和SLAT,无法启动未签名的驱动,应用程序,动态链接库,UEFI模块和一些脚本。根据设置,即使签名的代码也可以阻止执行。
当然,设备保护不完美。使用更多的保护要付出代价,使用过程中的“Performance”会降低,由于虚拟机监控程序的存在是不可避免的。创建,配置和维护策略的高度复杂性可看为这项技术的弱点。这些策略的选项分散在系统的各处,没有统一的管理面板控制。其结果是,犯错误很容易,反而导致降低了保护等级。
由于安全启动在这项技术中起关键作用,保护的等级很大程度上取决于UEFI 代码的质量,这个Microsoft无法控制,有第三方来编写。在User Mode下没有针对漏洞利用攻击的保护也是一个令人失望的地方。
Testing VBS
如果恶意代码在开启VBS的计算机上利用漏洞,必须提权至内核模式,才能攻击虚拟机管理程序。我们尝试这样操作,使用一个签名过的和可信的内核驱动。
内核模式渗透测试结果:
这里蓝屏意味着失败。
我们尝试过的攻击方式全部无效,基于CCR和MSR的攻击也未生效,都是以0xC0000096结束(意为“特权指令异常”)。
我们还在User Mode下进行了一些测试,试图规避enforced mode下的代码完整些策略,目的是为了启动未签名的程序和向受信任的进程里加载未经签名的动态链接库。我们不能直接这么做,但在Windows 10 preview release (10154)中发现了一个奇怪的错误。
错误原因在于,尽管设备保护检查应用程序,驱动和动态链接库是否签名,但它不会验证签名对于程序是否是有效配对的。也就是说,可以在受信任的应用程序中提取签名插入到不受信任的程序中,然后系统就会认为程序是受信任的。所以这样可以启动不受信任的程序和不受信任的动态链接库。
我们立即向Microsoft报告了这个问题,Windows 10 RTM (10240)不存在这个问题。
我们也发现了一个拒绝服务错误,这可能让一个汇编指令能是系统崩溃,或是虚拟机管理程序蓝屏。此错误的修补程序在Windows 10 TH2 (10586)。
虚拟机管理程序的蓝屏。
总的来说,Microsoft在安全机制方面做得不错,然而在以前的版本中,依然有利用固件来攻击的可能,另一方面,系统管理员必须专业水平很高才能正确配置。如果配置错误或是私有证书泄露,所有的保护将毫无用处。此外,针对User Mode没有漏洞利用保护。VBS仅在Windows10企业版中适用。
我们已经通知Microsoft所有在测试中系统所暴露出的漏洞。
Ⅲ Windows内置的反恶意程序保护
让我们来看下Windows内置的实时防护组件。对于没有安装第三方恶意程序保护软件的用户是默认开启的,它是最主要的Windows安全工具。
它的主要目的是防止恶意程序的安装和运行,它实时扫描文件和进程,通过使用一个定期更新的病毒数据库判断恶意程序。在大多数情况下,这种保护是足够的。
然而,如果你是一个积极的互联网使用者,经常有一些重要的操作,比如在线管理银行账户,就需要多层次地保护。最顶级的反恶意软件保护也会有时漏过检测最新未知的威胁。在这种情况下,只有多层保护才能阻止恶意程序进一步的破坏。
我们做了一些研究,发现了一些真实的例子来证明内置的保护可能不够。
Keystroke Interception(键盘记录)
一些银行木马截取用户输入在键盘上的信息来盗取银行账户。这种类型的木马的例子很多,如Qadars,Zbot和Cridex。许多反恶意软件解决方案,比如KIS,有一个组件专门检测和阻止应用程序截获击键顺序(即记录键盘输入的信息)的行为。在一些情况下,即使电脑已被感染,银行账户也不会被盗。
我们测试了内置保护对于防御键盘记录的能力,测试程序调用GetAsyncKeyState这个API。在Windows Defender开启的状态下,我们成功截取了PayPal账户的帐户名和密码。
截取PayPal账户凭据。
Unauthorized Web Camera Access(未经授权的网络摄像机访问)
在下一个测试中,我们尝试未经授权开启网络摄像机。在过去几年里,越来越多的黑客工具和木马使用这种方法。在众多网络犯罪实例中,Adwind包含秘密开启摄像头展开监控的功能。
Adwind是一个RAT(远程控制工具)。
打开网络摄像头追踪受害者可以获得很多信息,这可以非法赚钱,比如,威胁公布受害者的亲密视频除非付钱给勒索者。
一些恶意软件防护解决方案有控制程序访问摄像头的能力,在实际使用中,几乎没有合法的程序需要在用户不知情的情况下打开摄像头,所以在检测到这些操作时提示用户是一个方便又被广泛接受的策略。用户可以选择允许必须的程序访问摄像头的请求,也可以拒绝可疑程序访问它。
我们的测试程序使用了一个公开的library,叫做OpenCV(举个例子,Rover木马在使用它)。一个简单的Python脚本从网络摄像机中录下一段视频,以一个单独的窗口播放。即使Windows Defender在开启时,用户也会对应用程序使用摄像头录像一无所知,不会有任何提示。
用一个脚本开启网络摄像机录像。
Control of Drive-By Downloads
Windows用户面临的另一严峻的安全问题是漏洞利用程序的攻击,漏洞存在于各种程序中。我们测试了内置保护对于利用Adobe Flash Reader的CVE-2016-1019漏洞的反应(较新的漏洞)。
利用此漏洞的文件是使用ZLIB压缩算法的SWF文件。
flash漏洞利用攻击
这种形式下的文件被Windows Defender识别并隔离。
成功检测到打包的漏洞利用工具。
但是,如果该文件解压到原SWF,Windows Defender会忽略它。
此外,如果一个有漏洞的Adobe Flash Reader安装在系统中,且一个压缩文件(漏洞利用)从一个挂马网页下载到本地磁盘中从浏览器的context中执行(Drive-by attacks),可以发生感染,因为 Windows Defender并不包括本地下载控制组件。
成功下载一个漏洞利用工具,曾经检测过的。
此外,我们要提一个微软的组件,SmatScreen,基于信誉检测可以阻挡Drive-by攻击,但是有些情况,尤其是针对性较强的攻击,需要启发检测技术。
结论
如今,需要一个全面的方法来保护用户的系统,结合常规检测模块(基于签名的分析,行为分析等)和一些附加检测模块来检测网络犯罪分子的某些攻击手段。
我们简要地分析表明,在某些情况下,Windows10内置的保护不足以全面抵挡攻击。而在以前的Windows版本中,所有的攻击一般都由专用的安全产品解决。
对本号感兴趣的朋友可以请点击右上角的“关注”哦!