新发现:恶意软件限制安全软件服务特权


趋势科技公司研究人员在研究BKDR_VAWTRAK银行恶意软件方面取得了新的进展。该银行恶意软件使用Windows软件限制策略(SRP)限制安全软件的特权,包括限制趋势科技提供的安全软件服务特权。

软件限制策略是一项被引入Windows XP和Windows Server 2003的功能,这项功能通常通过组策略(Group Policy)进行管理。SRP功能的目的是允许管理员将特定的可执行程序列入黑名单和白名单,或者限制无特权用户(标准用户)执行。

虽然这并不是SRP第一次被恶意软件利用,但趋势科技认为显著的VAWTRAK攻击致使它显得更为重要。

无论在哪一版本的Windows系统中,SRP都可被本地策略编辑器(Local Policy Editor)调用:


此外,由于本地策略在系统中转化为注册表键值进行管理,所以直接创建注册表键值也是可能的,这正是趋势科技记录中恶意软件的做法。在上图的示例中,放置该注册表键值的地址为:

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowssafercodeidentifiers。

当用户试图运行这个可执行文件时,Windows便会阻止用户这样操作:


恶意软件本身必须要在有享有权限的环境下被执行,这样才能创建这些注册表键值。很可能,安全软件更新也许能够发现这个恶意软件,但如果该恶意软件已经以这种方式将其封锁,安全软件将无法发现这个恶意软件的潜入。

具有讽刺意味的是,在2002年新年第一天,微软TechNet在一篇文章中介绍SRP时描述了它如何可以用来“对抗病毒”。SRP的其他用途分别是:

1、管理可下载的ActiveX控件

2、仅在数字签名脚本下运行

3、仅批准电脑系统中已安装软件的执行

4、锁定一台计算机

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值