安全研究人员担心,杀毒产品中的关键性安全漏洞往往极易被发现及利用。
想象一下,如果贵公司的IT部门来电称我们的工作站受到了入侵,我们必须立即停止正常业务运作,这时大家肯定相当愤怒:我们已经顺利通过了企业设置的安全培训,也确定自己从来没有打开过任何可疑的电子邮件附件或者点击任何恶意链接; 另外,我们也清楚自己的企业拥有强大的修复策略并始终保持计算机上的软件处于最新版本; 与此同时,我们也绝不是那种会在工作时间内浏览非工作类网站内容的家伙。那么,到底是哪里出了问题?
几天之后,一项惊人的结论被摆在我们面前——企业雇用的安全调查厂商调查出了事故的源头:黑客利用到了被安装在我们计算机上的企业杀毒程序中的某项缺陷,而该程序的作用恰恰是保护我们免遭攻击侵害。纵观整个过程,攻击者不过是向身为受害者的我们发送了一份邮件消息——而我们甚至根本没有将其打开。
这种威胁场景听起来可能有些牵强,但需要强调的是,其绝对真实存在。根据漏洞研究人员对以往杀毒程序进行的分析,这种攻击活动非常有可能成为现实,甚至可能已经在无声无息中出现。一部分研究人员多年来一直在试图发出警告,从而强调端点杀毒产品当中关键性缺陷被发现及利用的便捷性与可行性。
自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。其中相当一部分安全漏洞会允许攻击者以远程方式在目标计算机上执行恶意代码,进而滥用杀毒产品自身提供的功能,最终在受影响系统中实现权限提升甚至压制住其它第三方应用中的反恶意防御机制。
其中一部分安全漏洞的利用方式甚至完全无需涉及用户界面,使得目标计算机创建蠕虫病毒——即拥有自我传播能力的恶意程序。在多数情况下,攻击者倾向于单纯向潜在受害者发送经过精心设计的特定邮件消息,从而将恶意代码注入至由此类设备访问的合法网站或者通过U盘将恶意文件传播到受害者的计算机当中。
即将在未来全面袭来的攻击活动
有证据表明,对杀毒产品者攻击的行为——特别是在企业迂阔发中——既具备可能性又具备可行性。一部分研究人员认为,此类攻击活动也许已然发生,甚至杀毒产品厂商尚未意识到这一点——因为受害者数量仍然非常有限。
各国政府的情报机构对于杀毒软件中的缺陷一直抱有很大兴趣。新闻网站The Intercept早在去年6月就报道称,英国政府通信总部(简称GCHQ)曾于2008年提出申请,要求更改相关要求以允许该机构对来自卡巴斯基实验室的杀毒产品进行逆向工程并从中寻找薄弱环节。美国国家安全局亦致力于研究杀毒产品,从而规避其检测,该网站援引由爱德华斯诺登披露的部分国安局文件内容称。
某疑似由国家提供赞助的间谍活动组织Careto——也称The Mask——明确试图利用卡巴斯基杀毒产品中的一项安全漏洞以回避检测。该组织于2014年2月对归属于数百个政府机关及私营机构的计算机设备进行了入侵,影响范围跨越超过30个国家。
尽管这里提到的主要是利用杀毒软件中的安全漏洞规避检测的例子,但事实上受感染杀毒产品遭遇远程代码执行状况的案例也时有发生,甚至有某些特定中间商会通过不受监管的地下市场对此类漏洞进行大量出售。
去年意大利监控厂商Hacking Team有大量邮件泄露,其中一份文档显示某家名为Vulnerabilities Brokerage International的机构出售大量漏洞信息。这份文档列出了一系列针对多种杀毒产品的权限提升、信息泄露以及绕过检测机制等安全漏洞,其中某个ESET NOD32杀毒软件中的远程代码执行漏洞被标记为“已售出”状态。
根据入侵检测方案供应商Vectra公司首席安全官兼安全研究企业IOActive公司前任首席技术官Gunter Ollmann的说法,这种状况在过去十年中一直存在。目前已经有多家厂商专门对来自不同国家的主流桌面杀毒产品者逆向工程,从而满足客户们的具体要求,他在电子邮件采访当中解释称。他们还会对现有恶意软件者逆向设计,从而保证其具备对已受感染系统的劫持能力,他表示。
根据Ollmann的解释,中国奇虎360杀毒产品当中的一项远程安全漏洞在美国及欧洲的情报机构处能够卖出数万美元的价格。
“从国家的角度来看,从事这种勾当显然不是什么光彩的事,所以其会将目标范围进行严格控制与精心挑选,”Ollmann指出。
如果来自美国与欧洲的情报机构对此类安全漏洞抱有兴趣,那么无疑俄罗斯、中国以及其它网络力量自然也已经涉入其中。事实上,中国与俄罗斯的网络间谍集团已经多次证明了自己的强大能够以及对流应用内未知漏洞的敏感嗅觉,因此利用同样的技能从杀毒产品中寻求漏洞自然也非难事。
甚至一部分杀毒产品供应商广泛认为,专门针对杀毒产品进行的攻击活动具备很高的可行性——尽管截至目前尚无此类事件出现。
“在我们的2016年预测当中,我们特别提到针对安全研究人员与安全厂商的攻击活动很可能成为信息安全领域的未来发展趋势; 但是,我们认为这类活动不太可能表现为广泛攻击,”卡巴斯基实验室反恶意软件研究项目负责人Vyacheslav Zakorzhevsky在采访邮件当中表示。“举例来说,安全研究人员可能会通过受感染研究工具遭遇攻击,而且由于一切软件皆存在着安全漏洞,因此安全软件本身也很可能在一定程度上成为受影响目标。”
杀毒软件供应商Bitdefender公司亦在邮件当中表示,针对商战安全项目的指向性攻击活动“显然具备可行性”,但这类活动很可能针对的是企业环境而非普通消费者。
渗透测试人员也早已意识到杀毒产品当中所存在的可乘之机。某位效力于一家大型技术企业的安全研究人员指出,他的团队常常会在渗透测试工作当中尝试利用杀毒管理服务器中的安全漏洞,因为此类服务器拥有覆盖全部商战系统的高权限,且可被作为企业网络内部的横向移动平台。他不愿透露自己的姓名,因为他的雇主并未批准其对此事发表评论。
对企业杀毒管理服务器加以利用的作法已经被列入Hacking Team所泄露出的漏洞经纪国际公司产品清单,亦可从某些公共漏洞数据库中找到。
杀毒方案供应商似乎并不担心针对其消费级产品的潜在攻击活动。在大多数情况下,研究人员认为这种攻击活动不太可能出现,因为典型的网络犯罪团伙有着其它更受欢迎的攻击目标选项,例如Flash Player、Java、Silverlight、IE或者微软Office。
然而,这类普及度极广的应用程序的开发商们近年也已经开始想办法缓解其产品遭遇攻击的可能性。而随着更多用户将产品升级至更新、更具保护能力的版本,攻击者们可能被迫寻求新的利用目标。因此,未来针对杀毒产品的攻击活动可能开始面向由数千万甚至数亿普通用户所使用的常规产品,特别是在网络犯罪分子开始将魔爪伸向未知——也就是零日安全漏洞领域之后。事实上,这类情况此前已经出现过。
但单纯立足于当下,企业在杀毒产品方面所面临的攻击风险仍然要远高于普通消费者,特别是那些频繁遭受网络间谍活动侵扰的敏感行业。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。