AVGaterでアンチウイルスソフトをエクスプロイト。トレンドマイクロやカスペルスキーも対象に。

f:id:nanashi0x:20171112160524p:plain

https://bogner.sh/2017/11/avgater-getting-local-admin-by-abusing-the-anti-virus-quarantine/

Florian Bogner氏によって、アンチウイルスソフトを使ったWindowsPCのエクスプロイト方法が明らかにされた。

Bogner氏は、Kapschというオーストラリアにあるセキュリティ企業に勤めるセキュリティ監査人だ。

今回のエクスプロイトには、Bogner氏によってAVGaterという名前が付けられており、以下のイラストと共に拡散されているようだ。

f:id:nanashi0x:20171112191817p:plain

(AVGaterを表す画像。Bogner氏の記事より引用。)

AVGaterの実行ステップ

Bogner氏は、AVGaterの手順理解を助ける為に、以下のYoutube動画を公開している。

https://www.youtube.com/watch?v=U_hqWVicA64&feature=youtu.be

正直、この動画だけ見ても概要がつかみにくいと思うので、以下に手順として示しておく。

AVGaterのエクスプロイト手順
  1. ユーザーがマルウェアに感染する
  2. アンチウイルスマルウェアを検知
  3. アンチウイルスマルウェアを隔離
  4. ローカル環境にいる攻撃者が、感染端末に対して細工したコードを実行。
  5. このコードは、このコードは、ジャンクション(WindowsNTFSに関する機能)を使って、隔離されたファイルが元々置かれていた場所からファイルがリレーされるよう設定する。
  6. 攻撃者は、隔離されたファイルを復元する命令コードを実行する。
  7. 隔離されたマルウェアは、一旦、元のパスに復元されるが、ジャンクション機能を使ってC:\Windows配下に移動する。
  8. 感染端末のユーザーがシステムを再起動すると、Windows起動時にマルウェアが実行される。

攻撃者は「ローカル」にいなくてはならない

注意して頂きたいのは、攻撃者が「ターゲットのローカル環境」に存在している事が必要という事。

また、ローカル環境にいる限りは、攻撃者は一般ユーザー権限でエクスプロイトを実行できる。

言い換えると、AVGaterを使ってエクスプロイトする為に管理者権限は必要ないという事になる。

ジャンクションとは何か

ステップ5で使用するジャンクションとは、WindowsNTFSで使われているシンボリックリンクのようなものを指す。

「ショートカット」等によって使われているリンク機能で、違うディレクトリから他のファイルを参照できるようにする機能だ。

一般ユーザー権限でエクスプロイト可能

本来C:\Windows配下への書き込み権限は管理者ユーザーしか保有していないはずだ。

つまり一般ユーザーがC:\Windows配下にファイル書き込みをしようとすると、エラーメッセージがあがるはずだ。

それがAVGaterの”ミソ”となる部分である。

実は、アンチウイルスの権限を使えば、C:\Windows配下への書き込みが可能になってしまうのだ。

Windows起動時に実行するファイルとは

実は、Windowsのデフォルト設定では、特定のフォルダに保存されているDLLファイルは起動時に実行するようになっている。

C:\Windows配下にあるファイルも、実行対象である。

したがって、今回AVGaterを使ってC:\Windows配下に移動されたマルウェアが、起動時に実行してしまうのだ。

C:\Windows以外にも、C:\Program Filesが指定される事も有り得る。

影響のあるセキュリティソフト

以下に、AVGater対策としてアップデートを提供したセキュリティソフトを挙げておく。

アップデート済みセキュリティソフト

他のセキュリティソフトも、今後対策を行なってアップデートを提供する見込みだ。

AVGaterのエクスプロイト手順

AVGaterの発見者・Bogner氏は既にMalwarebytesとEMSISOFTのエクスプロイト手順を以下の記事で示している。

興味があれば手順に従って、実際にエクスプロイトをしてみてもいいだろう。