セキュリティ研究者は、攻撃者がMicrosoftのApplication Verifierツールを使用して、さまざまなウイルス対策製品を乗っ取ることができることを発見しました。 イスラエルに本拠を置くセキュリティ会社Cybellumは、DoubleAgentと呼ばれる新しい攻撃方法は、McAfee、Panda、Avast、AVG、Avira、F-Secure、Kaspersky、Malwarebytes、Bitdefender、Trend Micro、Comodoなどのウイルス攻撃を防ぐために作成されたWindowsツールを利用すると主張しています、ESET –そしてそれらをマルウェアとして機能させます。

Cybellumによると、DoubleAgent攻撃は他のウイルス対策製品を侵害する可能性もあります。 この方法は、バグを検出し、サードパーティのWindowsプログラムのセキュリティを強化するランタイム検証システムであるMicrosoft Application Verifierを操作することで機能します。 このツールは、Windows XPからWindows 10までに含まれています。

DoubleAgentの仕組み

CybellumはDoubleAgentの動作方法について説明しました。

私たちの研究者は、攻撃者が標準の検証者を自分のカスタム検証者に置き換えることができるアプリケーション検証者の文書化されていない能力を発見しました。 攻撃者はこの機能を使用して、カスタム検証ツールを任意のアプリケーションに挿入できます。 カスタム検証が挿入されると、攻撃者はアプリケーションを完全に制御できるようになります。 Application Verifierは、バグを発見して修正することでアプリケーションのセキュリティを強化するために作成されました。皮肉なことに、DoubleAgentはこの機能を使用して悪意のある操作を実行します。

問題はWindows内にあるのではなく、ウイルス対策製品を提供するセキュリティベンダーにあります。 Cybellumは、DoubleAgentを使用して、影響を受けやすいウイルス対策プログラムを使用する組織を攻撃できると主張しています。 Malwarebytes、AVG、Trend Microは、それぞれの製品の問題を修正したベンダーの一部です。 Windows Defenderは、保護されたプロセスと呼ばれるWindowsメカニズムの使用により、DoubleAgentの影響を受けない唯一のウイルス対策製品のようです。 このメカニズムは、ユーザーモードで実行されるマルウェア対策サービスを保護します。

緩和

マイクロソフトは、信頼できる署名付きコードのロードを可能にする方法として、保護されたプロセスを提供しています。 したがって、攻撃者がコードとして新しいゼロデイテクニックを見つけたとしても、攻撃者はアンチウイルスに対してDoubleAgentを使用できません。 概念実証攻撃コードが、Cybellumの好意によりGitHubで利用可能になりました。