零日漏洞DoubleAgent的代碼注入和持久性攻擊技術分析

近日Cybellum的安全專家發現了一種新型的零日漏洞病毒，該病毒會在攻擊計算機前先破壞殺毒軟體，Cybellum的安全專家將這種攻擊手段命名為 DoubleAgent。 DoubleAgent通過向殺毒軟體注入代碼從而修改殺毒軟體的進程，進而獲得設備的完整許可權來對用戶進行攻擊。

DoubleAgent利用了存在於Microsoft Application Verifier（應用程序檢驗器）的漏洞，目前確認的受影響的設備包括：

1.從XP到Windows 10的所有Windows 版本都受到了影響，2.含有x86和x64的Windows架構都受到了影響，3.Windows的SYSTEM 和 Admin 用戶都受到了影響，4.含有OS及Antivirus特權進程的Windows設備都受到了影響，

也就是說DoubleAgent利用了存在於Microsoft Application Verifier的一個15年的漏洞，而且這種攻擊是建立在一個合法進程之上，因此目前我們還無法對其進行修復。

代碼注入

據Cybellum介紹，DoubleAgent通過將一個叫做「verifier provider DLL」的文件載入到目標應用程序的進程程中。

一旦載入完成，該DLL將作為指定進程的程序DLL添加到Windows註冊表。隨後Windows會自動以該DLL註冊名將代碼注入到所有進程中，這個機制使得DoubleAgent能夠獲得高執行許可權，從而允許DoubleAgent執行特權來註冊一個惡意的代碼進程，將代碼注入到殺毒軟體，並劫持其代理。

這個攻擊方法適用於任何進程了，一旦惡意軟體劫持了殺毒軟體，它可能會濫用其進行各種惡意操作，包括更改殺毒軟體的白名單或黑名單、在應用程序中安裝後門程序、劫持用戶數據、將其傳播到其他設備、進行加密或刪除文件（即勒索軟體的行為）。

另外代碼注入在進程啟動過程中發生得非常早，從而使攻擊者完全控制進程，並且無法讓進程進行自我保護。總而言之，這種代碼注入技術非常獨特，不會被任何殺毒軟體檢測到或阻止。

實施持久性攻擊

Cybellum還指出，即便採取了重新啟動、更新、重新安裝或修補程序等行為，攻擊也很難被阻止，DoubleAgent還可以繼續注入代碼。一旦攻擊者將代碼注入到一個進程中，則這個進程將永遠被強制綁定。

攻擊範圍

1.DoubleAgent的攻擊據稱影響到諸多安全廠商，包括Avast, AVG, Avira, Bitdefender, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Norton, Panda, Quick Heal 和 Trend Micro。

2.DoubleAgent可以在操作系統啟動後自動執行。

3.DoubleAgent可以劫持現有可信進程的許可權，從而偽裝成受信任的進程以執行惡意操作。

4.DoubleAgent可以更改執行流程，例如安裝後門、削弱加密演算法等。

5.DoubleAgent通過向其他用戶和會話控制的進程中注入代碼，將其傳播到其他設備。

攻擊技術還原

利用Microsoft Application Verifier的漏洞

DoubleAgent通過一個叫做「verifier provider DLL」的文件載入到應用程序的進程中。

驗證者提供的代碼只是一個被載入到進程中並負責執行應用程序運行驗證的，為了註冊一個新的應用程序驗證代碼，驗證者需要為驗證程序提供程序代碼並通過在註冊表中創建一組密鑰（a set of keys）來註冊它。

一旦將代碼註冊為進程的驗證程序，即使在重新啟動、更新、重新安裝、修補程序等之後，Windows Loader也會永久注入到進程中。

註冊

應用程序驗證者會根據可執行文件名稱進行註冊，這意味著每個代碼都被綁定到一個特定的可執行文件名稱，並且還將被注入到註冊過的進程名稱啟動後的每個進程。

例如把DoubleAgentDll.dll註冊到cmd.exe並啟動，「C：/cmd.exe」和「C：/Windows/System32/cmd.exe」在註冊後，會將DoubleAgentDll.dll注入到這兩個進程中。

註冊後，每當使用註冊名稱創建新進程時，操作系統會自動執行注入。無論是rebootsupdatesreinstallspatches還是其它，注入都會一直發生。每次創建具有註冊名稱的新進程時，DoubleAgent都將與應用程序驗證一起注入。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！