安全研究人員擔心，殺毒產品中的關鍵性安全漏洞往往極易被發現及利用。

想象一下，如果貴公司的IT部門來電稱我們的工作站受到了入侵，我們必須立即停止正常業務運作，這時大家肯定相當憤怒：我們已經順利通過了企業設置的安全培訓，也確定自己從來沒有打開過任何可疑的電子郵件附件或者點擊任何惡意鏈接; 另外，我們也清楚自己的企業擁有強大的修復策略并始終保持計算機上的軟件處于最新版本; 與此同時，我們也絕不是那種會在工作時間內瀏覽非工作類網站內容的家伙。那么，到底是哪里出了問題?

幾天之后，一項驚人的結論被擺在我們面前——企業雇用的安全調查廠商調查出了事故的源頭：黑客利用到了被安裝在我們計算機上的企業殺毒程序中的某項缺陷，而該程序的作用恰恰是保護我們免遭攻擊侵害。縱觀整個過程，攻擊者不過是向身為受害者的我們發送了一份郵件消息——而我們甚至根本沒有將其打開。

這種威脅場景聽起來可能有些牽強，但需要強調的是，其絕對真實存在。根據漏洞研究人員對以往殺毒程序進行的分析，這種攻擊活動非常有可能成為現實，甚至可能已經在無聲無息中出現。一部分研究人員多年來一直在試圖發出警告，從而強調端點殺毒產品當中關鍵性缺陷被發現及利用的便捷性與可行性。

自去年6月開始，研究人員就發現并報告了來自各類殺毒產品中的數十項嚴重缺陷，其相關廠商包括卡巴斯基實驗室、ESET、Avast、AVG Technologies、英特爾Security(原McAfee)以及Malwarebytes等等。其中相當一部分安全漏洞會允許攻擊者以遠程方式在目標計算機上執行惡意代碼，進而濫用殺毒產品自身提供的功能，最終在受影響系統中實現權限提升甚至壓制住其它第三方應用中的反惡意防御機制。

其中一部分安全漏洞的利用方式甚至完全無需涉及用戶界面，使得目標計算機創建蠕蟲病毒——即擁有自我傳播能力的惡意程序。在多數情況下，攻擊者傾向于單純向潛在受害者發送經過精心設計的特定郵件消息，從而將惡意代碼注入至由此類設備訪問的合法網站或者通過U盤將惡意文件傳播到受害者的計算機當中。

即將在未來全面襲來的攻擊活動

有證據表明，對殺毒產品者攻擊的行為——特別是在企業迂闊發中——既具備可能性又具備可行性。一部分研究人員認為，此類攻擊活動也許已然發生，甚至殺毒產品廠商尚未意識到這一點——因為受害者數量仍然非常有限。

各國政府的情報機構對于殺毒軟件中的缺陷一直抱有很大興趣。新聞網站The Intercept早在去年6月就報道稱，英國政府通信總部(簡稱GCHQ)曾于2008年提出申請，要求更改相關要求以允許該機構對來自卡巴斯基實驗室的殺毒產品進行逆向工程并從中尋找薄弱環節。美國國家安全局亦致力于研究殺毒產品，從而規避其檢測，該網站援引由愛德華斯諾登披露的部分國安局文件內容稱。

某疑似由國家提供贊助的間諜活動組織Careto——也稱The Mask——明確試圖利用卡巴斯基殺毒產品中的一項安全漏洞以回避檢測。該組織于2014年2月對歸屬于數百個政府機關及私營機構的計算機設備進行了入侵，影響范圍跨越超過30個國家。

盡管這里提到的主要是利用殺毒軟件中的安全漏洞規避檢測的例子，但事實上受感染殺毒產品遭遇遠程代碼執行狀況的案例也時有發生，甚至有某些特定中間商會通過不受監管的地下市場對此類漏洞進行大量出售。

去年意大利監控廠商Hacking Team有大量郵件泄露，其中一份文檔顯示某家名為Vulnerabilities Brokerage International的機構出售大量漏洞信息。這份文檔列出了一系列針對多種殺毒產品的權限提升、信息泄露以及繞過檢測機制等安全漏洞，其中某個ESET NOD32殺毒軟件中的遠程代碼執行漏洞被標記為“已售出”狀態。

根據入侵檢測方案供應商Vectra公司首席安全官兼安全研究企業IOActive公司前任首席技術官Gunter Ollmann的說法，這種狀況在過去十年中一直存在。目前已經有多家廠商專門對來自不同國家的主流桌面殺毒產品者逆向工程，從而滿足客戶們的具體要求，他在電子郵件采訪當中解釋稱。他們還會對現有惡意軟件者逆向設計，從而保證其具備對已受感染系統的劫持能力，他表示。

根據Ollmann的解釋，中國奇虎360殺毒產品當中的一項遠程安全漏洞在美國及歐洲的情報機構處能夠賣出數萬美元的價格。

“從國家的角度來看，從事這種勾當顯然不是什么光彩的事，所以其會將目標范圍進行嚴格控制與精心挑選，”Ollmann指出。

如果來自美國與歐洲的情報機構對此類安全漏洞抱有興趣，那么無疑俄羅斯、中國以及其它網絡力量自然也已經涉入其中。事實上，中國與俄羅斯的網絡間諜集團已經多次證明了自己的強大能夠以及對流應用內未知漏洞的敏感嗅覺，因此利用同樣的技能從殺毒產品中尋求漏洞自然也非難事。

甚至一部分殺毒產品供應商廣泛認為，專門針對殺毒產品進行的攻擊活動具備很高的可行性——盡管截至目前尚無此類事件出現。

“在我們的2016年預測當中，我們特別提到針對安全研究人員與安全廠商的攻擊活動很可能成為信息安全領域的未來發展趨勢; 但是，我們認為這類活動不太可能表現為廣泛攻擊，”卡巴斯基實驗室反惡意軟件研究項目負責人Vyacheslav Zakorzhevsky在采訪郵件當中表示。“舉例來說，安全研究人員可能會通過受感染研究工具遭遇攻擊，而且由于一切軟件皆存在著安全漏洞，因此安全軟件本身也很可能在一定程度上成為受影響目標。”

殺毒軟件供應商Bitdefender公司亦在郵件當中表示，針對商戰安全項目的指向性攻擊活動“顯然具備可行性”，但這類活動很可能針對的是企業環境而非普通消費者。

滲透測試人員也早已意識到殺毒產品當中所存在的可乘之機。某位效力于一家大型技術企業的安全研究人員指出，他的團隊常常會在滲透測試工作當中嘗試利用殺毒管理服務器中的安全漏洞，因為此類服務器擁有覆蓋全部商戰系統的高權限，且可被作為企業網絡內部的橫向移動平臺。他不愿透露自己的姓名，因為他的雇主并未批準其對此事發表評論。

對企業殺毒管理服務器加以利用的作法已經被列入Hacking Team所泄露出的漏洞經紀國際公司產品清單，亦可從某些公共漏洞數據庫中找到。

殺毒方案供應商似乎并不擔心針對其消費級產品的潛在攻擊活動。在大多數情況下，研究人員認為這種攻擊活動不太可能出現，因為典型的網絡犯罪團伙有著其它更受歡迎的攻擊目標選項，例如Flash Player、Java、Silverlight、IE或者微軟Office。

然而，這類普及度極廣的應用程序的開發商們近年也已經開始想辦法緩解其產品遭遇攻擊的可能性。而隨著更多用戶將產品升級至更新、更具保護能力的版本，攻擊者們可能被迫尋求新的利用目標。因此，未來針對殺毒產品的攻擊活動可能開始面向由數千萬甚至數億普通用戶所使用的常規產品，特別是在網絡犯罪分子開始將魔爪伸向未知——也就是零日安全漏洞領域之后。事實上，這類情況此前已經出現過。

但單純立足于當下，企業在殺毒產品方面所面臨的攻擊風險仍然要遠高于普通消費者，特別是那些頻繁遭受網絡間諜活動侵擾的敏感行業。

入侵殺毒產品難度極低

殺毒軟件是由人類所創造，而人類總會犯錯誤。當然，我們不可能要求此類程序完全不存在任何bug，但正常來講殺毒產品中的安全缺陷較其它軟件類型要更少，其利用難度也相應更高一些。

我們也有理由認為各企業成為IT安全行業中的組成部分，包括嚴格遵循安全編程指南以在自家產品當中實現常見的反漏洞防御機制，并定期執行代碼審計與漏洞測試。

然而遺憾的是，以上觀點只是我們的一廂情愿——殺毒業界的實際情況并非如此。

殺毒程序需要有能夠對來自多種來源的數據及文件類型進行檢查，具體包括網頁、電子郵件、本地文件系統、網絡共享信息、USB接入存儲設備乃至更多。這些殺毒產品亦由大量組件所構成，旨在實現多層級保護效果：負責攔截網絡流量的驅動程序、負責與瀏覽器及郵件客戶端相集成的插件、圖形用戶界面、執行基于簽名、行為以及云環境的殺毒引擎掃描子系統等等。

對于安全研究人員來說，這種豐富的功能與定位意味著龐大的攻擊面，也就是說攻擊者能夠以多種方式從其中找到大量潛在漏洞代碼。另外，在對殺毒軟件進行審視時，我們會發現其中有大量代碼擁有極高的運行權限，而這一直是安全研究人員應該盡可能避免的作法。

研究結果顯示，殺毒產品會提供“易于被利用的攻擊面，并顯著增加目標遭受針對性攻擊的機率，”谷歌公司安全研究員Tavis Ormandy在去年9月的一篇博文當中指出。在這篇文章中，他同時對自己在過去幾個月內所發現的殺毒軟件漏洞做出了分析。“出于這個原因，各安全產品供應商有責任盡可能提升安全開發標準，從而最大程度降低其軟件造成危害的可能性。”

自去年6月以來，Ormandy先后從來自ESET、卡巴斯基實驗室、AVG以及Avast等廠商的殺毒產品當中發現并報告了超過25種安全漏洞。而在此之前，他還曾經從Sophos以及微軟的產品中發現類似的安全缺陷。

Ormandy所發現的大部分安全缺陷源自對文件及數據的解析操作，而這也是歷史上此類漏洞的一種慣有來源。

“未來，我們將看到更多殺毒軟件拆包工具、模擬器以及沙箱解析方案，從而保證其無需以SYSTEM權限加以運行，”Ormandy指出。“Chromium沙箱屬于開源項目且為眾多主流產品所使用。請不要坐等網絡蠕蟲將矛頭指向我們的產品，或者執行面向用戶的針對性攻擊，馬上行動將沙箱機制加入到各位的發展路線圖中來。”

Ormandy并不是第一位對殺毒產品中缺少沙箱等安全應對機制，且各組件以系統級別權限加以運行這一現狀發出警告的專家。

2014年，一位名為Joxean Koret的安全研究人員就曾發現14款殺毒產品及其掃描引擎中存在著遠程與本地可利用安全缺陷。他給出的建議與Ormandy大致相同。

根據Koret的說明，殺毒行業至少應當采取權限隔離以及沙箱機制等技術手段提供較高的安全水平，同時也需要盡可能對殺毒產品本身進行保護。

目前有很多此類程序中存在著可被中間人攻擊所利用的漏洞，因為它們并未使用SSL/TLS進行通信，而其下載的各組件往往亦不具備簽名。它們沒有采用任何現代瀏覽器所廣泛擁有的反漏洞機制，也沒有使用模擬方式掃描可執行文件或者選擇內存安全語言，他通過郵件告訴我們。

更糟糕的是，有證據表明很多殺毒產品甚至根本沒有針對安全缺陷進行過適合的合規審計，Koret表示。“舉例來說，著眼于Tavis Ormandy所發現的各安全漏洞，我們明顯可以發現其從未對軟件本身進行過審計，因為此類安全漏洞完全可以在每周一次的固定評估過程中被審計工具所發現。”

為了避免潛在的擴散可能性，殺毒軟件廠商應當盡可能降低產品運行所采用的權限級別，添加沙箱敏感性功能并確保其代碼擁有理想的安全水平與成熟度，漏洞情報企業Risk Based Security(簡稱RBS)公司首席研究官Carsten Eiram指出。

自2010年1月1日開始，已被正式報告的安全軟件與設備內安全漏洞已經多達1773個——其中2015年曝出的有372個，而且大部分都可通過輸入篡改的方式被實際利用，RBS公布的數據顯示。

“安全供應商應當承擔起提高安全編碼標準的責任，”Eiram表示。“從安全產品解析功能中發現這么多安全漏洞確實令人覺得非常尷尬，因為這長久以來一直被視為主要安全威脅之一。而當上述解析功能以SYSTEM權限運行時，其造成的后果自然更加嚴重。”

在大多數情況下，殺毒軟件供應商往往認為沙箱機制并不適用于殺毒產品，因為這會對性能造成一定影響。一部分廠商甚至宣稱，他們會采取其它一些可行方式——例如降低運行權限、執行路由安全評估并開發出其它能夠實現等同于沙箱之效果的技術方案。

賽門鐵克公司正致力于降低其產品及服務的攻擊面。根據該公司的說法，其方案旨在以盡可能低的權限級別運行安全組件，從而降低攻擊活動的實現可能性。

而根據卡巴斯基實驗室的說法，實際解決安全漏洞的復雜程度要遠比單純使用某種技術手段更高。該公司推出了一系列技術成果，并宣稱其能夠為客戶帶來最理想的保護效果。舉例來說，其使用多種機器學習算法以使用公司收集到的大規模安全情報與專業知識。

“盡管使用‘沙箱’方案似乎是種更為簡單的辦法，但其存在著諸多嚴重缺點，包括影響性能、執行效率以及兼容性，”卡巴斯基公司的Zakorzhevsky解釋稱。

英特爾Security/McAfee公司則表示當得知存在某項潛在問題時，其會立即進行調查以驗證其有效性、性質以及嚴重程度，并據此制定修復策略。

我想可能沒有人會質疑殺毒軟件廠商對安全缺陷的發現速度以及盡快發布修復補丁的能力。事實上，其中一些廠商擁有驚人的響應速度，其產品在配置中也默認提供自動更新設計。然而真正的問題在于，相當一部分安全缺陷類型其實自開發階段起就一直存在于此類產品當中。

賽門鐵克與英特爾Security雙方都拒絕解決與沙箱技術相關的具體問題、殺毒產品面臨攻擊行為的可能性、此類產品在檢測目標攻擊時的具體成效或者其它安全研究人員們所提出的批評意見。

殺毒方案供應商Bitdefender公司指出，谷歌公司推出的類沙箱解決方案不太可能成為安全產品中的有效技術選項。“反惡意軟件解決方案每秒都需要攔截數千個系統事件并對其進行沙箱處理，這會給系統整體帶來可觀的性能影響，甚至遠遠超出操作系統供應商的可容忍限度。”

Bitdefender公司同時宣稱，其大部分產品組件——例如反惡意引擎主動威脅控制子系統——已經以等同于當前所登錄用戶的權限水平加以運行，且正在利用代理進程來限制其中以系統權限運行的組件數量——包括該公司的消費級產品。

在企業級產品方面，該公司開發出了一套名為Gravity Zone的解決方案，允許管理員在網絡上的不同設備運行掃描服務，而非像過去那樣面向端點——另外，其最近還推出了HVMI(即基于虛擬機管理程序的內存審查)技術，能夠通過在操作系統之外部署Type 1虛擬機管理程序的方式徹底對反惡意解決方案加以隔離。

“這類隔離機制能夠將反惡意引擎同rootkit或者其它運行在用戶環境下的漏洞區分開來，”該公司強調稱。

Avast公司并沒有就此做出評論，而Malwarebytes、AVG以及ESET等廠商則明確拒絕在本文發布之前給出回應——雖然我們提供了充足的反應時間。

風險與回報

由殺毒產品所帶來的規模可觀且易被利用的攻擊面在與針對性攻擊相結合之后，又帶來了新的問題：我們是否有必要在企業環境之下安裝此類保護程序?

部分研究人員質疑端點殺毒產品在應對高復雜性及高針對性惡意程序時的實際作用，特別是那些來自網絡間諜集團的攻擊手段。在他們看來，與由其帶來的風險相比，端點殺毒產品帶來的回報實在太過有限，特別是對于那些處于經常遭遇針對性攻擊侵擾的行業之內的企業而言。

“在我看來，殺毒軟件產品只適合用于保護那些小型企業以及家庭用戶，”Koret指出。“殺毒產品無法檢測到那些未知的威脅——無論具體是什么。殺毒產品的檢測功能往往流于形式，而且大多數惡意軟件開發人員都會在發布其惡意代碼之前首先在主流產品中進行測試，”他解釋道。

而作為端點殺毒產品的長期反對者，Ollmann認為安全保護方案越來越多被內置于操作系統當中的趨勢將使得這種獨立產品形式最終過時。

事實上，即使是在當下，部分殺毒軟件供應商也需要侵入操作系統安全機制，從而保證自己的產品能夠如設計思路般正常運行——這也進一步證明了其對系統的破壞能力，他補充稱。

作為此類狀況的一項實例，最近以色列數據泄露預防企業enSilo公司報告稱，來自英特爾Security、卡巴斯基實驗室以及AVG等廠商的產品中存在一項安全漏洞，能夠禁用操作系統內置反漏洞防御機制對其它應用的保護。

這些殺毒產品會為用戶模式的讀取、寫入與執行權限分配一個內存頁，而具體權限則同Adobe Reader以及網絡瀏覽器等其它應用相關聯，enSilo公司的研究人員在一篇博文當中解釋稱。這有可能使得攻擊者得以繞過Windows系統中的安全防御機制，例如面向第三方應用程序的地址空間布局隨機化(簡稱ASLR)以及數據執行預防(簡稱DEP)，從而幫助自身更輕松地利用這些應用中所存在的安全漏洞。

Eiram還進一步強調稱，殺毒產品已經沒有立足之地。當然，他認為相當一部分用戶——包括家庭用戶以及企業環境內用戶——仍然需要具備一定程度的操作保護手段，例如避免下載高風險軟件或者點擊惡意鏈接。

端點殺毒程序確實能夠降低此類基礎性威脅。然而殺毒產品本身帶來的攻擊風險是否更加嚴重?這取決于此類威脅的具體類型以及所安裝殺毒產品的整體安全水平，他指出。

人們應當認真考慮怎樣的安全軟件真正適合自己的環境，特別是其中是否具備他們最為需要的功能。殺毒產品買家亦應當檢查自己的現有選項，了解它們能夠快速應對與自身產品相關的安全漏洞，同時通過供應商安全記錄審查了解這些缺陷的具體類型及嚴重程度，Eirams建議稱。

“人們不該出于更安全的印象而盲目安裝安全軟件，”他表示。“實際情況并非如此。”

“我們永遠不能低估惡意軟件在復雜性層面的發展速度與前進步伐，”卡巴斯基公司的Zakorzhevsky指出。“但與此同時，我也不同意殺毒產品毫無效果這種說法。在出現一套能夠檢測出全部高復雜性威脅以及針對性攻擊活動的解決方案之前，殺毒軟件仍是保護業務并對普通惡意軟件進行過濾與阻斷的整體安全戰略中的必要組成部分。”

一項多層次戰略應當將傳統殺毒軟件同下一代保護工具、情報共享、安全服務、IT專業技能培訓以及路由安全性評估等方案相結合，同時適用于軟件、硬件以及應用程序本身，而這也是我們能夠降低企業及個人數據泄露機率的惟一可行方案，他表示。

Bitdefender公司承認，有時候殺毒產品確實會漏掉一些惡意軟件樣本，但他們表示這種狀況在全部威脅事件當中只占約1%比例。

“因此，這最終還是要歸結為對攻擊可能性的過濾與排查——這項工作基于已知安全漏洞或者已知惡意軟件的變種特征——而后將反惡意解決方案同安全意識培養計劃作為相互補充，”該公司指出。

能夠在高風險環境下實現或者取代殺毒程序的技術方案正是應用程序白名單機制，其只允許預先經過批準的應用程序在計算機上運行。美國國家標準與技術研究所最近鼓勵用戶使用這種已經被默認內置在部分操作系統當中的保護機制，甚至發布了與之相關的推薦用法指南。

網絡邊界的保護對于捍衛企業環境免受內部與外部威脅方面亦非常重要，例如阻止數據泄露嘗試。不過，用戶在思想意識層面不應先入為主地認定網絡級安全設備不存在安全漏洞。事實上，安全研究人員在過去幾年中已經發現相當一部分此類產品存在漏洞，其中一部分甚至在不受監管的地下市場中進行公開出售。

原文標題：Antivirus software could make your company more vulnerable