【安全圈】黑客可向杀毒进程注入恶意代码，将防护变后门

关键词

网络攻击

一项由安全研究员 Two Seven One Three 在社交平台上披露的研究显示，攻击者已找到一种新颖手段，可借助克隆受保护服务与劫持加密提供者（Cryptographic Provider），向主流杀毒软件的受保护进程注入恶意 DLL，从而在杀毒产品安装目录中植入后门。该方法把“无法终止、持续保护”的安全进程反过来当作攻击载体，极大地提高了恶意程序的隐蔽性与持久性。

研究者概述的攻击路径并不依赖内核级 0day，而是利用杀毒软件为保证稳定运行而依赖的若干系统机制与辅助组件。许多现代安全套件不仅包含核心检测进程，还捆绑额外服务（如 UI、VPN、防火墙模块等），这些受保护进程通常具有向安装目录写入的权限——反而为注入和持久化留下一丝操作空间。

攻击的关键技术点包括：先通过注册表导出/导入等方式克隆（duplicate）某个受保护服务，使系统在重启或服务加载时生成一个与原服务配置相同的新服务（spawn clone），该克隆进程同样获得受保护进程的执行环境，从而避开直接终止的限制；随后修改系统用作加密与签名的提供者配置

（HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider）

指向恶意 DLL，使该 DLL 在服务启动时被加载；为规避签名校验，研究者还演示了使用“签名克隆”手段对恶意 DLL 签名，模仿合法程序的证书链，进一步降低被拦截的概率。

为了复现与自动化这一流程，研究者开发并公开了名为IAmAntimalware的工具，能够克隆服务、修改加密提供者或 COM 对象、导入证书并启动克隆服务等一系列步骤。研究团队在实验中针对 Bitdefender、Trend Micro、Avast 等厂商的某些组件成功复现了注入与写文件的行为，证明这种思路在现实环境中具备可行性——一旦成功，攻击者即可在杀毒软件目录写入标记文件或启动后门程序，而这些操作往往更易被忽视，因为相关文件位于“受信任”的安装目录之中。

这项研究暴露出的核心问题并非单一厂商的缺陷，而是整个终端防护架构面临的一个系统性挑战：为确保连续防护，杀毒产品需要运行在高权限、受保护的进程空间，且采用自我保护机制（如 Protected Process Light、代码完整性校验、自恢复策略等）。但正是这些保护措施在设计上优先考虑稳定与不被干扰，使得攻击者可以转而从“辅助通道”寻找注入与持久化的切入点——例如利用不常被严格约束的注册表项、提供者配置或额外的支持服务。

针对这一类风险，研究者与业界安全专家提出了若干防御建议：

• 强化模块加载监控：对来自非标准路径或非常规提供者的模块加载进行实时告警；

• 审计与锁定可信证书：对注册表中信任的证书与提供者配置进行定期审计，检测异常修改；

• 尽量启用并强制执行 PPL（Protected Process Light）与内核态完整性校验，并提升对服务克隆与注册表变动的检测能力；

• 行为分析补强静态校验：通过异常进程行为（如在安装目录写入可执行文件、频繁修改系统提供者等）触发深度检测；

• 收紧安装目录写入权限：最小化能向安全产品安装目录写入的进程数量，避免广泛授权。

同时，研究者也提醒渗透测试与红队操作的界限：这类技术一方面帮助厂商发现自保护机制中的盲点并改进设计，另一方面若被非善意方获取并滥用，将产生严重后果。因此相关研究细节的公开需要在安全披露与厂商协调的框架内稳妥推进。

总体来看，该研究再次强调一个悖论：当安全软件试图以更强的“自我保护”抵御外来破坏时，如果保护边界或信任链条设计不周，也可能被对手用于反制。对于终端防护厂商而言，如何在保证可靠性与防止自身被利用之间取得平衡，是一项亟需深化的工程与安全课题。厂商需尽快评估自家产品在服务克隆、加密提供者配置与证书信任链等方面的暴露面，并据此加固检测与响应能力；企业客户也应将此类检测纳入安全运维与应急响应流程中，以降低潜在风险。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！