近日,Avast公司的CCleaner工(gōng)具的正規版本遭到攻擊從而成爲惡意軟件的載體(tǐ),這一(yī)例子充分(fēn)地展現了壞人利用安全工(gōng)具來開(kāi)展不法行爲的危險性。
數十年以來,我(wǒ)們對于安全工(gōng)具未能正确識别惡意軟件或惡意攻擊所帶來的危險早有耳聞。但最近幾年,随着安全研究者和黑客們發現了通過利用安全工(gōng)具可以很輕易地摧毀企業,危險已驟然升級。
爲了正常工(gōng)作,這些工(gōng)具常常需要極高級别的管理特權,但卻通常在最低級别的系統上運行。這緻使它們成爲了攻擊者的首要目标。
在過去(qù)兩年間,許多zero-day漏洞接連出現,讓犯罪者、網絡間諜對于這些漏洞可以帶給他們的收獲垂涎以待。
FireEye 0Day漏
對于安全産品自身缺陷的關注正在日益增加,在等待供應商(shāng)提供對許多疑難的解決行動18個月後,安全研究者Kristian Hermansen公開(kāi)了FireEye平台上一(yī)個影響嚴重的zero-day漏洞。此漏洞是一(yī)個可以爲攻擊者提供被攻擊系統的root訪問的登陸旁路。
AV内存分(fēn)配漏洞
在FireEye漏洞發現不久的幾個月後,enSilo的安全研究者們相繼發現了ACG、McAfee和Kaspersky Lab提供的軟件都在分(fēn)配内存方面存在漏洞,使攻擊者可以将這些AV系統轉化成爲攻擊其他應用程序的工(gōng)具。
Juniper後門
上述的内存分(fēn)配漏洞出現的幾天後,又(yòu)有一(yī)個重大(dà)危機被發現,Juniper防火(huǒ)牆在面向用戶時,存在一(yī)個認證後門直接通往産品的源代碼。這個後門在被發現前已經存在了兩年之久。
TrendMicro的“ridiculous”漏洞以及其他
在2016年間,Trend Micro一(yī)直不斷遭受攻擊,使安全供應商(shāng)也受到沖擊。谷歌Project Zero的研究員(yuán)Tavis Ormandy完成了一(yī)項研究,發現Trend的密碼管理員(yuán)中(zhōng)有一(yī)個漏洞,在很微小(xiǎo)的工(gōng)作當中(zhōng)允許随機命令執行,這個漏洞被他成爲“ridiculous”。同時,研究員(yuán)們還在對Trend Micro繼續進行研究。在六個月的研究過程中(zhōng),研究員(yuán)Roberto Suggi Liverani和Steven Seeley稱,他們在Trend産品中(zhōng)找到了将近200個可以遠程開(kāi)發的漏洞,不需要任何用戶交流就可以被觸發。
Symantec遠程執行漏洞
Trend Micro并不是唯一(yī)被發現存在漏洞的供應商(shāng)。事實上,Ormandy也在24個Symantec的産品中(zhōng)發現了一(yī)系列極其嚴重的漏洞,他們使用US-CERT來發布了一(yī)個建議,讓用戶保護自己不受到攻擊,避免攻擊者們通過遠程攻擊獲得root特權。
AV釣魚漏洞
在去(qù)年的Black Hat USA會議上,enSilo的研究員(yuán)們提到了這個漏洞。他們發現了一(yī)個漏洞,AV和安全産品的釣魚引擎與系統交互,讓攻擊者們可以避開(kāi)内部操作系統的安全控制。漏洞影響了AVG、Kaspersky Lab、McAfee、Symantec、Trend Micro、Bitdefender、Webroot、Avast和Vera。
DoubleAgent
它本質上可能并不是一(yī)個安全産品的漏洞,但今年年初被發現的一(yī)種盛行的攻擊表明,存在一(yī)種欺騙性的手段可以将AV産品變成惡意軟件。這種被稱爲DoubleAgent的攻擊利用了一(yī)個叫做Microsoft Application Verifier的Windows工(gōng)具,來向AV中(zhōng)植入惡意代碼,在系統中(zhōng)将惡意軟件僞裝成AV。
“Crazy Bad”Windows惡意軟件引擎漏洞
這個春天,由于另外(wài)一(yī)個極其嚴重的遠程編碼執行漏洞,微軟的惡意軟件保護引擎被摧毀,它出發了US-CERT警報,使得微軟發布了一(yī)個帶外(wài)補丁。它也是被Ormandy和他在Project Zero的同事Natalie Silanovich發現的——他們将其稱爲“Crazy Bad”漏洞。這一(yī)安全概念驗證的攻擊僅僅使用網頁來植入一(yī)種文件,來部署摧毀内存的病毒。
被用做滲漏工(gōng)具的雲引擎
同時,今年的Black Hat USA會議還進行了幾場關于安全産品漏洞的會談。其中(zhōng)一(yī)種引起關注的技術是由SafeBreach的研究員(yuán)們開(kāi)發出來的,他們将帶有雲功能的AV作爲一(yī)種向網絡滲漏數據的工(gōng)具,即使在未聯網的系統中(zhōng)也可以使用。
CCleaner的崩
終于談到了CCleaner,它可謂是以上幾種事故中(zhōng)最緻命的一(yī)個。這個問題十分(fēn)嚴重,因爲通過将惡意軟件僞裝成來自可信源的可信軟件,攻擊者可以攻擊超過兩百萬的終端。
更加嚴重的是,Cisco Talos的研究員(yuán)發現,一(yī)個包含次有效載荷的後門正在瞄準攻擊至少20個對象,來自微軟、谷歌、HTC、索尼、三星、DLink、Akamai、VMware、Linksys和Cisco本身。
我(wǒ)們可以從這些發現的趨勢中(zhōng)觀察到,未來這一(yī)類漏洞将會繼續普遍發展。
上一(yī)篇:勒索軟件,應用程序和公共雲:無雲教訓
下(xià)一(yī)篇:數據越多垃圾越多?如何收集、處理、分(fēn)析更多的安全數據