安全公司CyberArk的安全专家发现一种方法，能绕过Windows PatchGuard保护，并将恶意代码置入Windows内核。借助这种方法，攻击者可以在此前被认为坚不可摧的系统上植入Rootkit。

Hook技术

Hook技术可以让攻击者控制操作系统或软件的运行方式。一些利用Hook的软件包括：安全解决方案应用程序、系统实用程序、编程工具(例如拦截、调试、扩展软件等)、恶意软件(例如Rootkit)等等。

但这种技术不属于提权或漏洞利用技术。该技术主要用于利用后场景，攻击者在这种场景中对资产具有控制权。因为恶意内核代码(Rootkit)通常希望在目标内创建并维持持久性，而隐秘技术发挥了重要作用。

Windows PatchGuard

PatchGuard官方的名称为内核补丁保护(KPP)，是64位Windows系统的安全功能，旨在阻止第三方代码使用其它程序修改Windows内核。微软于2005年推出PatchGuard功能，该功能已经阻止了大多数Rootkit在64位Windows系统上运行。

“鬼钩”攻击利用英特尔PT功能

安全研究人员发布的 “鬼钩”(GhostHook)新技术能使用英特尔CPU的一项功能绕过PatchGuard。“鬼钩”技术可以为恶意攻击者或信息安全产品提供支持，从而控制设备上运行的任何代码。

研究人员表示，“鬼钩”仅针对运行英特尔Processor Trace(PT)的系统。PT是使用专用硬件捕获当前软件执行相关信息的英特尔CPU功能，以帮助调试操作，并检测恶意代码。

正常情况下，进入英特尔PT操作需要攻击者将恶意功能置入内核级代码，而PatchGuard一般会立即发现并阻止这种操作。

CyberArk的研究人员称，分配非常小的缓冲区处理英特尔PT数据包会导致CPU耗尽缓冲空间，并打开PMI处理器(PMI Handler)来管理溢出代码。但问题在于，PatchGuard不会监控PMI处理器，攻击者可能会趁机通过PMI处理器利用恶意代码修改内核操作。

攻击者通过这种方法神不知鬼不觉地修改Windows内核，并在64位Windows上嵌入RootKit。 “鬼钩”甚至会影响Windows 10。自微软2015年夏季推出Windows 10 以来，被证明有效的Rootkit其实很少。

微软拒绝修复“鬼钩”攻击媒介

CyberArk公司称已经向微软报告了“鬼钩”攻击，但微软拒绝发布安全更新。微软表示，可能会在定期漏洞修复周期内发布补丁，但不会将“鬼钩”作为漏洞看待。

微软表示，攻击者需要获得被感染设备的内核级访问权限才能执行“鬼钩”攻击。如果攻击者具备内核级访问权也可以执行其它恶意活动，用户首先应该防止攻击者获取内核级权限。

对于微软给予的答复，CyberArk反复强调，这种技术会绕过PatchGuard功能，为Rootkit打开一扇窗进入64位Windows系统，而不一定需要攻击者取得内核级访问权限。

真正的问题在于，攻击者可以利用这种技术在过去数年无法进入的平台上植入Rooktkit。

目前，从整个恶意软件市场来看，由于有PatchGuard为64位系统的安全保驾护航，针对64位Windows系统的恶意软件所占比例不到1%。