E安全6月24日讯 安全公司CyberArk的安全专家发现一种方法，通过英特尔CPU的新功能Processor Trace (Intel PT) 绕过Windows系统中的PatchGuard内核保护。借助这种方法，攻击者可以在此前被认为坚不可摧的系统上植入Rootkit。

但这种技术不属于提权或漏洞利用技术。该技术主要用于利用后场景，攻击者在这种场景中对资产具有控制权。因为恶意内核代码（Rootkit）通常希望在目标内创建并维持持久性，而隐秘技术发挥了重要作用。

PatchGuard官方的名称为内核补丁保护（KPP），是64位Windows系统的安全功能，旨在阻止第三方代码使用其它程序修改Windows内核。微软于2005年推出PatchGuard功能，该功能已经阻止了大多数Rootkit在64位Windows系统上运行。

“鬼钩”攻击利用英特尔PT功能

安全研究人员发布的 “鬼钩”（GhostHook）新技术能使用英特尔CPU的一项功能绕过PatchGuard。“鬼钩”技术可以为恶意攻击者或信息安全产品提供支持，从而控制设备上运行的任何代码。

研究人员表示，“鬼钩”仅针对运行英特尔Processor Trace（PT）的系统。PT是使用专用硬件捕获当前软件执行相关信息的英特尔CPU功能，以帮助调试操作，并检测恶意代码。

正常情况下，进入英特尔PT操作需要攻击者将恶意功能置入内核级代码，而PatchGuard一般会立即发现并阻止这种操作。

CyberArk的研究人员称，分配非常小的缓冲区处理英特尔PT数据包会导致CPU耗尽缓冲空间，并打开PMI处理器（PMI Handler）来管理溢出代码。但问题在于，PatchGuard不会监控PMI处理器，攻击者可能会趁机通过PMI处理器利用恶意代码修改内核操作。

攻击者通过这种方法神不知鬼不觉地修改Windows内核，并在64位Windows上嵌入RootKit。 “鬼钩”甚至会影响Windows 10。自微软2015年夏季推出Windows 10 以来，被证明有效的Rootkit其实很少。

微软表示，攻击者需要获得被感染设备的内核级访问权限才能执行“鬼钩”攻击。如果攻击者具备内核级访问权也可以执行其它恶意活动，用户首先应该防止攻击者获取内核级权限。

对于微软给予的答复，CyberArk反复强调，这种技术会绕过PatchGuard功能，为Rootkit打开一扇窗进入64位Windows系统，而不一定需要攻击者取得内核级访问权限。

真正的问题在于，攻击者可以利用这种技术在过去数年无法进入的平台上植入Rooktkit。

目前，从整个恶意软件市场来看，由于有PatchGuard为64位系统的安全保驾护航，针对64位Windows系统的恶意软件所占比例不到1%。