如何找到杀毒产品的漏洞JoxeanKoret,COSEINC.PDFVIP

如何找到杀毒产品的漏洞 Joxean Koret, COSEINC SYSCAN 360, 2014 如何找到杀毒产品的漏洞 n  介绍 n  攻击杀毒引擎 n  发掘漏洞 n  杀毒引擎的漏洞利用 n  杀毒产品的漏洞 n  结论 n  建议 杀毒引擎 n  杀毒引擎的一般共同特点： n  ⽤C/C++语⾔编写； n  + 基于特征码引擎 启发式； n  按访问扫描； n  命令⾏/ GUI 的按需扫描； n  ⽀持压缩⽂件； n  ⽀持加壳； n  ⽀持其他多种⽂件格式。 n  杀毒引擎的高级共同特点： n  数据包过滤器和防⽕墙； n  驱动防护、anti-rootkits等... n  Anti-exploiting ⼯具包。 杀毒产品或引擎 n  杀毒引擎是杀毒产品的核心、内核 。 n  一些杀毒引擎被多种产品广泛使用。 n  例如，BitDefender是使⽤最⼲泛的杀毒内核。 n  在诸如G-Data、eScan、F-Secure等产品中都能⻅到它 的⾝影。 n  “ ” 多数⼤型 杀毒公司都有⾃⼰的引擎，但也不是全部都 有。有些公司，例如F -Secure ，会在他们的产品中集成 第三⽅引擎。 n  广义上，此次演讲汇总，我讲着重讨论的是杀毒引擎、内 核，而不是“产品” 。 攻击面 n  事实：在你计算机上安装应用程序，会更易受攻击的。 n  你只不过是增加了你的攻击⾯⽽已。 n  如果应用程序是本地程序：则本地攻击面增加。 n  如果应用程序是远程程序：则远程攻击面增加。 n  如果您的应用程序具有最高权限运行、安装内核驱动与 数据包过滤器，并且尝试处理任何您的计算机可能做的 事情。。。。。。 n  你的攻击⾯将⼤⼤增加。 神话与现实 n  杀毒产品的宣传语： n  “我们让你的电脑更安全，没有性能损失！” n  “我们可以抵御未知的0day攻击！”. n  现实中： n  杀毒引擎会使你的电脑的性能受到不同程度的损失， 并且表现的更易受攻击。 n  杀毒引擎也会受0day攻击，就像它所保护的那些不 被攻击的程序⼀样。 n  顺便说⼀句，甚⾄还可以降低操作系统漏洞缓解 Breaking antivirus software n  介绍 n  攻击杀毒引擎 n  发掘漏洞 n  杀毒引擎的漏洞利用 n  杀毒产品的漏洞 n  结论 n  建议 攻击杀毒引擎 n  通常，由于性能的原因，杀毒引擎都由非托管语言编写。 n  ⼤多数引擎都是⽤C 或者C++ 编写的，只有少数⼏个例 外，⽐如古⽼的MalwareBytes 是⽤VB6 编译的。 n  这将转换为缓冲区溢出，整数溢出，格式字符串等等。。。 n  多数杀毒引擎都会安装系统驱动。 n  这将转换为本地权限提升。 n  杀毒引擎必须支持的文件格式列表： n  Rar, Zip, 7z, Xar, Tar, Cpio, Ole2, Pdf, Chm, Hlp, PE, Elf, Mach-O, Jpg, Png, Bz, Gz, Lzma, Tga, Wmf, Ico, Cur... n  这将转换为上述⽂件格式解析器中的bugs。 攻击杀毒引擎 n  杀毒引擎不仅要支持大量的文件格式，还要比厂商支持得更 快。 n  当针对某种文件格式的利用漏洞出现的时候，消费者就会尽 快的针对这些文件寻求支援。这个过程持续的越长，那么顾 客转移到另外的厂商的几率就越高。