oS

科技大众汽车时刻?趋势科技通过检测测试套件来指责欺骗微软驱动程序QA

AV Maker否认指控,研究人员是“寻求关注”


更新 趋势科技在防守后被指责工程到欺骗微软的QA测试,品牌指控“误导”。

Bill Demirkapi是罗切斯特理工学院18岁的计算机安全学生,告诉 企业技术新闻 周二,他正在研究检测rootkits的方法,当他遇到趋势的rootkit buster for Windows PC时。

虽然逆向工程趋势的rootkit狩猎工具及其内核模式驱动程序似乎在趋势产品中似乎很常见,Demirkapi发现了一些代码中的缺点 公开记录 他们。您需要管理员访问才能利用他找到的漏洞,虽然在那旁边,但它们是一种简单的进入内核,具有讽刺意义的rootkits和其他已经获得管理员访问的恶意软件。

“我与趋势科技司机的大多数安全问题都是令人震惊的,因为他们中的大多数都没有误,”黛米拉皮斯说 呈现 在黑客超级会议Def Con,是由于在黑帽美国2020讨论Windows Rootkits。

“趋势科技简单地设计了驱动程序,为用户模式提供了大量的呼叫者的功能,允许攻击者以多种方式滥用驱动程序。问题是趋势科技司机是由设计不安全的,使其成为一个完美的候选人滥用世界各地恶意演员。“

Crucially, a function named IsVerifierCodeCheckFlagOn() in the kernel-level driver code caught Demirkapi's eye. Digging in further, he said he made a startling discovery. IsVerifierCodeCheckFlagOn() appears to detect whether or not a specific Microsoft test suite – the driver verifier – is running on the computer, by querying the registry key VerifyDriverLevel.

此测试套件旨在确保驱动程序符合Microsoft的Windows硬件优质实验室(WHQL.) 要求。如果驱动程序符合本标准,则可以由Microsoft对其进行数字签名,由Windows信任,并且可能通过Windows Update和类似机制分发。

大众甲壳虫

1100万VW汽车使用了模拟组成的作用 - 多尔巴卡的离合器是什么?

阅读更多

Demirkapi相信趋势的内核驱动程序在微软的WHQL驱动程序验证测试上作弊:如果驱动程序检测到运行测试的计算机上安装,它会改变其行为来通过考试,而在测试之外,它将无法满足微软的质量标准。

那么,据称司机是什么?要通过Microsoft的测试,该软件应作为安全预防措施,从操作系统中分配其内存 无法执行非分页池,aka nonpagedpoolnx。这是标记为系统CPU核心的不可执行的内存。这意味着即使误解或恶意软件在此内存中删除恶意代码,通过利用安全漏洞,它们不能只是跳转到这些指令并运行它们。

微软的测试确保驱动程序使用此不可执行的内存。当趋势的驱动程序在被测试的计算机上运行时,索赔软件请求从No-Execute非分页池按预期请求存储器;当测试未运行时,它会从可执行的非分页池中请求内存,这将失败Microsoft的测试。

“通过[微软]驱动程序验证者一直是获得WHQL认证的长期要求,”Demirkapi在他的网站上注明了。

“在Windows 10上,驱动程序验证程序强制执行驱动程序不分配可执行内存。而不是遵守设计以保护Windows用户的要求,趋势科技决定忽略其用户的安全性并设计其驱动程序欺骗任何测试或调试环境抓住这种违规行为。

“老实说,我傻眼了。我不明白为什么趋势科技会在这些测试中欺骗的方式......我所拥有的唯一工作理论是由于某种原因,他们的大多数驱动程序都不兼容nonpagedpoolnx ,并且只有他们的入口点兼容,否则真的不是一个点。“

Demirkapi继续下去:

我反转了很多司机,你真的看到了一些漂亮的愚蠢的东西,但我很震惊......大多数司机都感觉像鸭带一起举在一起的概念垃圾。

虽然趋势科技已经采取基本的预防措施,例如限制谁可以与其驱动程序交谈,但IOCTL处理程序内部的大量代码包括非常危险的直接内核对象操作。

作为回应,趋势科技批评Demirkapi的决定公开而不是私下披露他的调查结果,并试图淡化研究。它也否认它是规避微软的测试。

“我们认为这一指控是误导性的,”杀毒制造商的发言人告诉 企业技术新闻.

“研究人员没有通知我们,而为行业的标准和有效的报告将要求他首先与我们联系。鉴于这种方法,人们可能会认为研究人员正在寻求超越分辨率的关注。

我们相信这一指控是误导性的

“我们与Microsoft Security Driver Team合作伙伴关系,并且在趋势科技团队的情况下,避免认证要求。”

When pressed for an explanation as to why the driver was behaving in the manner described by the undergraduate, Trend had nothing more to offer. Demirkapi, meanwhile, said he can think of no reason for the inclusion of the IsVerifierCodeCheckFlagOn() code, aside from evading the driver security test.

微软表示,它意识到这个问题,并“与趋势科学密切合作,调查这些索赔。”

那些拥有一个良好的记忆的人会记得的方式,回到10月当趋势的防病毒工具,在文件扫描期间, 自动运行 malware if its filename was cmd.exe or regedit.exe. ®

更新以添加

趋势有 拉了 它的rootkit Buster从其网站下载,其驱动程序已在Windows 10 20H1上被封锁。趋势科技否认任何不法行为。

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021