全球杀毒软件之内核安全现状与研究成果分析

二进制安全研究 rabit2013 阅读(3698) 0评论

Who We Are

四叶草安全实验室(CloverSec Labs)是西安四叶草安全旗下的安全研究部门。实验室分为四个小组,分别是二进制漏洞研究小组、IoT安全研究小组、Web安全研究小组和移动终端安全研究小组。

  1. 二进制漏洞研究小组主要对各类应用程序、系统、系统组件等进行漏洞挖掘和漏洞分析,并将发现的漏洞第一时间提交给厂商进行修复。
  2. IoT安全研究小组主要对物联网设备进行安全研究。
  3. Web安全研究小组主要是对各种CMS、Web框架进行安全研究。
  4. 移动终端安全研究小组主要对移动终端和移动App进行安全分析和漏洞挖掘。

下文是四叶草安全实验室二进制漏洞研究小组针对全球杀毒软件内核安全进行分析的研究成果。

AV-Products

针对杀毒软件内核驱动的漏洞挖掘和研究是从三月初开始到五月初结束,测试了全球范围内的24款杀毒软件,产品列表来源于AV-TEST,涵盖了全球范围内主流的杀毒软件。测试过的产品列表如下:

AV-Vulnerabilities

发现的第一个杀毒软件内核漏洞是针对Avast Free Antivirus,在改进Windows内核fuzz工具的工作中,临时决定对Avast的内核驱动进行一次fuzz测试,原因很简单:

  1. 免费的杀毒软件
  2. 有漏洞奖励

写了一个半自动化的fuzz工具,在首次尝试后,发现了2个Avast的内核漏洞。基于对Avast内核漏洞分析的经验,对工具进行改良,实现了一款Windows平台下针对杀毒软件内核驱动的全自动化的fuzz工具。在改进工具的过程中,又发现了第三个Avast的内核漏洞。

后续的工作就是安装杀软测试环境,并使用该工具去自动化寻找漏洞。在很多杀软环境下,首次运行fuzz工具不到20秒,就找到了第一个蓝屏漏洞。通过对上述列表的所有AV产品进行测试,总共发现了47个能导致系统蓝屏的漏洞。并在测试过程中意外发现了微软某内核驱动的一个栈溢出型漏洞。

漏洞统计图:

AV-Exploit

在经过简单的整理和分析后,有多个不同AV产品的漏洞均能成功利用并提权到SYSTEM。

其中一个EXP演示:

Credit Information

  1. ZDI-CAN-3749
  2. ZDI-CAN-3733
  3. ZDI-CAN-3732
  4. ZDI-CAN-3712
  5. Avast
  6. K7
  7. QTA-2016-028
  8. Baidu
  9. ……

Conclusion

经过测试发现,很多杀软的内核漏洞都是由一些低级错误导致的,通常是由于开发人员在处理用户态传入的指针或长度这类数据时校验不严谨或根本没有任何校验,导致了此类漏洞的发生。经过短暂的fuzz测试后(平均fuzz时间不到1小时),有几个杀软表现得很坚挺,但并不表示这些杀软内核不存在漏洞。

本次测试发现的漏洞均已经提交给相关厂商,其中一部分漏洞已被修复。

转载请注明:CloverSec Labs » 全球杀毒软件之内核安全现状与研究成果分析

喜欢 (13)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址