恶意攻击者使用受信任的软件向受保护的文件夹中写入危险内容,这些漏洞可能被滥用以停用保护机制并将允许进行操作的软件列出。
卢森堡大学和伦敦大学学者详细介绍了这两次攻击,目的是绕过文件夹的保护机制来加密文件,通过模拟鼠标点击事件禁用它们的实时保护。
恶意软件缓解软件缺点这样会使未授权代码关闭软件保护功能,防病*供应商提供的受保护文件夹解决方案中的设计缺陷可能被勒索软件滥用,这样会使文件内容被更改和加密用户数据。使用擦除软件来不可撤销地销毁受害者文件
一小部分列入白名单的应用程序被授予写入受保护文件夹权限。但是列入白名单的程序可能被其他应用程序滥用。恶意软件可以通过使用列入白名单的应用程序作为中介去攻击受保护文件夹。
恶意软件应用场景如下,恶意代码打开文件进行读取,在内存中加密,复制文本内容到系统剪切板,勒索软件启动受信任的记事本,剪切板数据最终覆盖文件夹内容。
另一方面,GhostControl攻击把本身可能产生严重后果,从控制的远程服务器上通过模拟在防病*解决方案的用户界面上执行合法操作关闭实时恶意软件保护可能允许攻击者删除和执行任何恶意程序。
“安全可组合性是安全工程中的一个众所周知的问题,”研究人员说。“当单独考虑时,提供某个已知攻击面的组件在集成到系统中时确实会产生更广泛的表面。组件彼此交互以及与系统的其他部分创建一种动态,攻击者也可以以某种方式与之交互这是设计师没有预见到的。”
本