來自SafeBreach的安全研究專家設(shè)計出了一種惡意軟件，這種惡意軟件能夠利用云端增強(qiáng)型反病毒（AV）代理從沒有直接接入互聯(lián)網(wǎng)的終端設(shè)備中提取數(shù)據(jù)。

安全研究專家認(rèn)為，某些高度安全的企業(yè)可能會采取嚴(yán)格的數(shù)據(jù)出口過濾規(guī)則，這也就意味著終端設(shè)備可能沒有直接接入互聯(lián)網(wǎng)，或者是終端設(shè)備的鏈接會被重定向到安裝了防護(hù)軟件的主機(jī)（作為網(wǎng)關(guān)），但如果企業(yè)環(huán)境中使用了云AV產(chǎn)品的話，企業(yè)的敏感數(shù)據(jù)依然是有可能被不法分子竊取的。

來自SafeBreach實(shí)驗(yàn)室的Itzik Kotler和Amit Klein就在前兩天剛剛于美國舉辦的2017年Black Hat黑客大會上演示了這種惡意軟件。研究人員表示，惡意軟件在感染了終端設(shè)備之后，惡意軟件的主進(jìn)程回創(chuàng)建一個可執(zhí)行文件，并將終端設(shè)備的數(shù)據(jù)封裝在這個可執(zhí)行文件之中。此時AV產(chǎn)品便會檢測到這種惡意的可執(zhí)行文件，如果云AV產(chǎn)品采用了聯(lián)網(wǎng)沙盒環(huán)境的話，那么當(dāng)AV代理將這個剛生成的可執(zhí)行文件上傳到云端進(jìn)行進(jìn)一步分析時（文件在聯(lián)網(wǎng)沙盒環(huán)境中被執(zhí)行），這款PoC工具便能夠從這個可執(zhí)行文件中提取出數(shù)據(jù)。

在研究人員發(fā)表的白皮書【PDF】中，研究人員不僅提供了相關(guān)數(shù)據(jù)以及云端反病毒產(chǎn)品沙盒環(huán)境的內(nèi)部結(jié)構(gòu)分析，而且還描述了云端AV產(chǎn)品的掃描機(jī)制、惡意軟件分類機(jī)制以及病毒樣本共享機(jī)制等內(nèi)容。除此之外，他們還介紹了這種攻擊技術(shù)的增強(qiáng)型攻擊方法，并給云端AV廠商提供了相應(yīng)的緩解方案。

這款PoC工具名叫Spacebin，目前該工具的源代碼已經(jīng)上傳到了GitHub上。該項(xiàng)目中包含服務(wù)器端以及客戶端的代碼，以及工具的使用方法，所有與該工具有關(guān)的東西都可以在該項(xiàng)目的GitHub主頁上找到。【傳送門】

Kotler和Klein主要對兩個高度安全的組織的兩種網(wǎng)絡(luò)架構(gòu)進(jìn)行了分析：在其中一個組織中，終端設(shè)備沒有網(wǎng)絡(luò)訪問權(quán)，但是反病毒管理服務(wù)器可以連接網(wǎng)絡(luò)；另一個組織中，終端設(shè)備與主機(jī)相連，這也就意味著它們可以受限制地訪問網(wǎng)絡(luò)。在上面這兩種場景中，所有的終端設(shè)備都部署了云AV代理。

研究人員表示：“我們利用的是基于云端的反病毒沙盒功能，很多反病毒廠商目前都在使用這種功能。這種功能的基本原理是：它能夠允許AV廠商通過輕量級的代理軟件在云端進(jìn)行繁重的安全分析任務(wù)。具體而言，在這種體系架構(gòu)中，AV代理只需要對特定的進(jìn)程和文件進(jìn)行基本的安全檢測，而對于那些無法確定其惡意性的文件來說，它們將會被轉(zhuǎn)移到一個“灰色地帶”，這個“灰色地帶”中的所有進(jìn)程或文件都將被發(fā)送到云端進(jìn)行進(jìn)一步分析，用戶可以從云端獲取最終的分析結(jié)果（幾乎無需等待）。”

一般情況下，待檢測的文件樣本都會在云端AV沙盒環(huán)境中被執(zhí)行，并且在沙盒中觀察其行為，這樣可以防止惡意程序?qū)φ鎸?shí)用戶或?qū)嶓w設(shè)備造成損害。AV云沙盒通常都需要接入互聯(lián)網(wǎng)，因?yàn)檫@樣可以提升其檢測能力（比如說，惡意軟件可能會嘗試連接一臺命令控制服務(wù)器，此時沙盒就可以檢測到這種行為了）。

研究人員解釋稱，攻擊者進(jìn)程（代號Rocket）中還包含一個可執(zhí)行文件（代號Satellite），Satellite可以被加密或壓縮以掩蓋自己可執(zhí)行文件的身份，因此Satellite可以成為Rocket內(nèi)存空間中的一部分?jǐn)?shù)據(jù)，而不會對Rocket本身造成影響。Satellite中包含一個占位符，這個占位符可以存儲任何需要提取的數(shù)據(jù)（Payload），而且Rocket需要知道這個占位符的具體位置。

在攻擊的過程中，Rocket負(fù)責(zé)收集那些最終需要提取出來的數(shù)據(jù)（Payload），然后解密/解壓Satellite并將Payload嵌入到Satellite鏡像（還可以對Payload進(jìn)行壓縮或加密）中，接下來將Satellite鏡像以文件的形式寫入到磁盤中，最終生成Satellite子進(jìn)程。接下來，Satellite會故意進(jìn)行一些可疑行為來觸發(fā)終端設(shè)備的AV檢測，隨后Satellite鏡像文件（包含Payload）便會被被上傳到云端。上傳之后，云AV會在聯(lián)網(wǎng)沙盒環(huán)境中執(zhí)行Satellite文件，而Satellite進(jìn)程就可以使用任意一種基于網(wǎng)絡(luò)的數(shù)據(jù)提取方法從中提取出Payload了。

但是這種攻擊方式的隱蔽性還不夠好，因?yàn)锳V產(chǎn)品會將Satellite文件標(biāo)記為可疑文件，而此時用戶很有可能會注意到，而且日志和記錄文件都會對這種行為進(jìn)行記錄。但是此時攻擊已經(jīng)發(fā)生了，數(shù)據(jù)也已經(jīng)被攻擊者提取走了，所以一切都已經(jīng)來不及了。

* 參考來源：securityweek， FB小編Alpha_h4ck編譯，轉(zhuǎn)載請注明來自FreeBuf.COM