BoundHook：利用CPU攻击Windows的新技术

10月20日讯 CyberArk实验室的研究人员开发一种入侵后技术，将其命名为“BoundHook”，攻击者可利用自英特尔第六代微处理器架构Skylake以来推出的所有英特尔芯片MPX功能（内存保护扩展功能）Hook软件组件之间传递的函数调用，这样一来，攻击者便可操控并监控大量Windows应用程序。借助这种技术，攻击者可从任何进程执行代码，躲避反病毒软件以及其它安全检测。

hook是Windows提供的一种消息处理机制,它使得程序员可以使用子过程来监视系统消息,并在消息到达目标过程前得到处理。

BoundHook如何监控Windows应用程序？

CyberArk的安全研究人员Kasif Dekel（卡瑟夫·德克尔）表示，利用Hook的软件包括：

• 应用程序安全解决方案；

• 系统实用程序；

• 编程工具；

• 恶意软件等等。

  
  

BoundHook攻击条件

Dekel表示，这种PoC攻击的先决条件得有支持MPX（Skylake或此后的架构）的英特尔CPU，同时还需运行Windows 10（64位或32位）系统。此外，攻击者还必须攻破目标系统。

CyberArk资深安全研究员Doron Naim（多伦·纳伊姆）表示，此类攻击的精妙之处在于攻击者可规避检测。

研究人员周三发布技术报告解释称，BoundHook技术能在用户模式下的指定内存位置引起异常。接下来，该技术能捕捉异常，并控制特定应用程序使用的线程执行，例如，通过该技术可拦截Windows和特定服务之间传递的键盘事件消息，从而捕捉或操控受害者的击键。

这种技术与GhostHook类似。GhostHook能通过英特尔Processor Trace功能绕过微软Windows 10的PatchGuard内核保护。GhostHook技术可绕过PatchGuard，通过Hook在内核层面控制设备。

微软和英特尔为何不准备修复该“漏洞”？

微软和英特尔并不将GhostHook和BoundHook视为漏洞，他们均向CyberArk表示不会修复BoundHook问题，因为这类攻击要求攻击者完全攻破目标系统。

Naim表示，国家黑客可能会利用此类攻击。一些臭名昭著的针对性黑客入侵，例如Flame和Shamoon能轻易利用恶意软件在设备和网络上建立立足点，一旦有了立足点，攻击者不轻易被察觉。

CyberArk在博文中表示，即使BoundHook不符合微软界定漏洞的要求，他们也应当解决此类问题。

微软回应研究人员称，其调查发现这并不是一个漏洞，而是设备被攻破时躲避检测的一种技术。

CyberArk的研究人员表示，管理员应当限制账号权限，最小化BoundHook攻击的横向渗透风险。

Naim指出，之所以发布这项研究成果有两大目的：

• 其一是引起关注，以便微软最终能解决这个问题。

• 其二，研究人员希望强化终端用户保护管理员权限的意识，因为管理员权限受保护的情况下，用户便不会遭受BoundHook攻击。