在 Black Hat USA 2023 会议上,SafeBreach 的研究人员 Tomer Bar 和 Omer Attias 表现得非常忙碌,他们在演讲中详细阐述了攻击是如何进行的,哪些 APT 组织最为活跃,以及如何通过模拟攻击帮助安全团队站在敌人的角度进行思考与反击。
特别引人注意的是,他们关于如何劫持 Windows Defender的演示,该技术可以让 Defender 无视恶意软件,错误地将正常文件识别为恶意,并甚至删除关键系统文件,导致机器无法正常工作。
这两位以色列研究人员推出了一种名为 Defender Pretender 的自动化工具,该工具能在 Microsoft Malware Protection Platform 版本早于 41823038 的情况下复制这些攻击。该工具的代码可以在 GitHub 上找到。
微软将这类攻击方法归类为 CVE202324934,并于四月发布了相应的补丁。
“教训就是不要信任任何人,即使是微软自己的流程,”Bar说。“数字签名的文件并不总是安全的,安全程序的签名更新过程可能被用作攻击向量。”
Bar 和 Attias 在黑帽会议中的演示文稿可以在 此处查看。
受到 2012 年Flame 国家资助恶意软件 的启发,Bar 和 Attias 想知道他们是否也能利用 Windows Defender 的病毒签名更新过程来颠覆 Windows 系统。尽管 Flame 使用了加密碰撞伪造微软数字签名,但 Bar 和 Attias 则以更低的门槛尝试在没有特殊访问权限或签名的情况下劫持 Defender。
黑洞加速器安卓下载他们的演示结束后,Bar 坐下来与 Security Weekly 主持人 Jeff Man 讨论了他们在 Defender 上的发现,以及 SafeBreach Labs 团队如何帮助客户识别最关键的威胁和安全漏洞,构建行业内最全面的攻击手册。
此次节目由 SafeBreach 赞助,想了解更多信息,请访问 这里。
节目完整链接
时间内容0000演讲关于攻击和破坏模拟的介绍0112SafeBreach 的攻击和破坏模拟平台0218实时测试以识别偏差和漏洞0330真实模拟以模仿实际威胁和攻击技巧0445SafeBreach 的研究和供应商合作0602定制攻击以全面测试客户环境0715大型企业的优势:专业知识和模拟益处0828识别漏洞、错误配置和过程失败0942优先处理和弥补安全漏洞
