新发现:恶意软件限制安全软件服务特权
2014-07-03 11:23
363 查看
趋势科技公司研究人员在研究BKDR_VAWTRAK银行恶意软件方面取得了新的进展。该银行恶意软件使用Windows软件限制策略(SRP)限制安全软件的特权,包括限制趋势科技提供的安全软件服务特权。
软件限制策略是一项被引入Windows XP和Windows Server 2003的功能,这项功能通常通过组策略(Group Policy)进行管理。SRP功能的目的是允许管理员将特定的可执行程序列入黑名单和白名单,或者限制无特权用户(标准用户)执行。
虽然这并不是SRP第一次被恶意软件利用,但趋势科技认为显著的VAWTRAK攻击致使它显得更为重要。
无论在哪一版本的Windows系统中,SRP都可被本地策略编辑器(Local Policy Editor)调用:
此外,由于本地策略在系统中转化为注册表键值进行管理,所以直接创建注册表键值也是可能的,这正是趋势科技记录中恶意软件的做法。在上图的示例中,放置该注册表键值的地址为:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowssafercodeidentifiers。
当用户试图运行这个可执行文件时,Windows便会阻止用户这样操作:
恶意软件本身必须要在有享有权限的环境下被执行,这样才能创建这些注册表键值。很可能,安全软件更新也许能够发现这个恶意软件,但如果该恶意软件已经以这种方式将其封锁,安全软件将无法发现这个恶意软件的潜入。
具有讽刺意味的是,在2002年新年第一天,微软TechNet在一篇文章中介绍SRP时描述了它如何可以用来“对抗病毒”。SRP的其他用途分别是:
1、管理可下载的ActiveX控件
2、仅在数字签名脚本下运行
3、仅批准电脑系统中已安装软件的执行
4、锁定一台计算机
相关文章推荐
- 安全经验谈:新威胁 恶意软件转为犯罪软件
- Microsoft恶意软件保护引擎漏洞将允许拒绝服务
- 安全专家称恶意软件开始瞄上苹果Mac电脑
- 54款开源服务器软件(内容管理、数据库、电子商务、邮件服务器、文件传输、操作系统、安全、小公司服务
- 黑客利用恶意软件窃取用户数据,通过代码签名证书加强安全防护
- 微软将推收费安全服务 与杀毒软件商抢客户
- 软件评测-信息安全-应用安全-资源控制-用户登录限制(中)
- Android安全:GingerMaster--第一个在Android2.3上利用root权限攻击的恶意软件20110818
- 戴尔推免费浏览器安全工具 可隔离恶意软件
- 活动目录服务的配置与管理(8) 利用组策略限制软件运行
- 转贴:Google提供网站恶意软件侦测服务
- TeamSpeak Server多个拒绝服务和绕过安全限制漏洞
- 安全新兵营第十四天:恶意软件
- 卡巴斯基安全公告:2008恶意软件发展情况
- Google的恶意软件警告服务是否会被假冒杀毒软件再利用?
- [图]10个在线病毒&恶意软件检测服务
- 安全新兵营第十四天:恶意软件
- 软件评测-信息安全-应用安全-资源控制-用户登录限制(上)
- 软件评测-信息安全-应用安全-资源控制-用户登录限制(上)
- 紧急通知:恶意软件正在破坏QQ安全运行 亲爱的用户,你的QQ已被恶意外怪破坏