• :
  • Atbroker漏洞无限次触发 金山毒霸独家防御-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] Atbroker漏洞无限次触发 金山毒霸独家防御

    [复制链接]

    该用户从未签到

    发表于 2018-5-15 11:47:31 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x

        近日,金山毒霸安全中心发现微软进程atbroker.exe 存在漏洞,该漏洞可无限次触发。锁屏,触发UAC,用Cttl+Alt+Delete 快捷键都可启动,危害较大。

        一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。然而,利用atbroker.exe系统进程,实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光,但是被发现的在野攻击却不多。

        不久前,某网友机子上的某杀毒软件不停的提示有挖矿(zec币)程序在运行,删除恶意程序后,下次开机还是会不停的出现。金山毒霸安全研究员小欧在一番苦心挖掘下,终于摸清了病毒的自启、躲避杀软的攻击手法。本次抓到的样本,通过利用atbroker.exe自启病毒母体,然后通过rundll32加载恶意模块,最后实现文件的md5修改、释放和执行挖矿程序。

    atbroker.exe介绍

        atbroker.exe(C:WindowsSystem32目录下),源于微软的“轻松访问中心”。”轻松访问中心”的一项功能是帮助用户启动辅助功能应用程序,常用的包括讲述人,屏幕键盘和放大镜。同时,这意味着第三方程序也可以通过注册轻松访问中心的方式来启动。这一机制使得病毒可以通过写注册表的方式,利用atbroker.exe启动恶意程序。

    atbroker.exe的文件信息如下:
    1.png

    atbroker.exe 攻击手段

        早在2016年7月22就曝光了利用atbroker.exe运行恶意程序的方法,但是网上对利用该手法进行恶意攻击的文章不多。详情请戳:


        金山毒霸安全研究员小欧亲自测试,触发atbroker.exe启动,有以下几个场景:

    锁屏或者登录时
    开机启动时
    运行atbroker.exe时
    按下Ctrl+Alt+Del时
    触发UAC时

        金山毒霸安全研究员小欧经过一番苦心研究发现:病毒作者用atbroker.exe启动的病毒进程参数是 woshiyizhixiaomaolv(我是一只小毛驴),后续启动的病毒进程都用了woshiyizhixiaomaolv 这个参数。

    我是一只.jpg

    溯源

    根据pdb路径暴露的QQ号,查到作者于12年毕业,活跃于看雪论坛,擅长windows驱动开发。
    21.png

    22.png

        金山毒霸安全研究员分析后发现,atbroker.exe 是病毒很好的藏身之地。病毒再通过改变MD5和白+黑手法,能绕过大部分杀软的查杀。触发atbroker.exe来启动病毒的场景很多,包括开机自启、锁屏、UAC和参数运行等。利用该机制,使得病毒能够轻松拉活自己并长期驻存在系统中。目前,金山毒霸可完美防御。

    111.png

    详细分析报告:


    QQ图片20170310085531_副本.jpg

    使用道具 举报 回复
    装了金山毒霸的同学们,不用担心,毒霸对此类型已经全面专防,保护你的安全。没有安装金山毒霸的同学,请下载金山毒霸,闪电查杀,避免中毒。
    使用道具 举报 回复 支持 反对
    了解一下!
    使用道具 举报 回复
    一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。而利用atbroker.exe系统进程,实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光,但是被发现的在野攻击却不多。
    使用道具 举报 回复 支持 反对
    一般情况下,病毒会利用添加启动项、计划任务、服务的方式来实现开机启动,达到留存和活跃的目的。而利用atbroker.exe系统进程,实现病毒开机启动的方式并不常见。虽然该手法在2016年7月已经有被曝光,但是被发现的在野攻击却不多。
    使用道具 举报 回复 支持 反对
    了解一下!
    使用道具 举报 回复
    特来看看,知道了。
    使用道具 举报 回复 支持 反对
    atbroker.exe 是病毒很好的藏身之地
    使用道具 举报 回复 支持 反对
    不错不错不错。重要说三次。。支持支持支持
    使用道具 举报 回复 支持 反对
    分析后发现,atbroker.exe 是病毒很好的藏身之地。病毒再通过改变MD5和白+黑手法,能绕过大部分杀软的查杀。触发atbroker.exe来启动病毒的场景很多,包括开机自启、锁屏、UAC和参数运行等。利用该机制,使得病毒能够轻松拉活自己并长期驻存在系统中。
    使用道具 举报 回复 支持 反对
    了解一下!
    使用道具 举报 回复
    再来看看,知道了。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则