近日,Avast公司的CCleaner工具的正規版本遭到攻擊從而成為惡意軟件的載體,這一例子充分地展現了壞人利用安全工具來開展不法行為的危險性。
數十年以來,我們對于安全工具未能正確識別惡意軟件或惡意攻擊所帶來的危險早有耳聞。但最近幾年,隨著安全研究者和黑客們發現了通過利用安全工具可以很輕易地摧毀企業,危險已驟然升級。
為了正常工作,這些工具常常需要極高級別的管理特權,但卻通常在最低級別的系統上運行。這致使它們成為了攻擊者的首要目標。
在過去兩年間,許多zero-day漏洞接連出現,讓犯罪者、網絡間諜對于這些漏洞可以帶給他們的收獲垂涎以待。
FireEye 0Day漏洞
對于安全產品自身缺陷的關注正在日益增加,在等待供應商提供對許多疑難的解決行動18個月后,安全研究者Kristian Hermansen公開了FireEye平臺上一個影響嚴重的zero-day漏洞。此漏洞是一個可以為攻擊者提供被攻擊系統的root訪問的登陸旁路。
AV內存分配漏洞
在FireEye漏洞發現不久的幾個月后,enSilo的安全研究者們相繼發現了ACG、McAfee和Kaspersky Lab提供的軟件都在分配內存方面存在漏洞,使攻擊者可以將這些AV系統轉化成為攻擊其他應用程序的工具。
Juniper后門
上述的內存分配漏洞出現的幾天后,又有一個重大危機被發現,Juniper防火墻在面向用戶時,存在一個認證后門直接通往產品的源代碼。這個后門在被發現前已經存在了兩年之久。
TrendMicro的“ridiculous”漏洞以及其他
在2016年間,Trend Micro一直不斷遭受攻擊,使安全供應商也受到沖擊。谷歌Project Zero的研究員Tavis Ormandy完成了一項研究,發現Trend的密碼管理員中有一個漏洞,在很微小的工作當中允許隨機命令執行,這個漏洞被他成為“ridiculous”。同時,研究員們還在對Trend Micro繼續進行研究。在六個月的研究過程中,研究員Roberto Suggi Liverani和Steven Seeley稱,他們在Trend產品中找到了將近200個可以遠程開發的漏洞,不需要任何用戶交流就可以被觸發。
Symantec遠程執行漏洞
Trend Micro并不是唯一被發現存在漏洞的供應商。事實上,Ormandy也在24個Symantec的產品中發現了一系列極其嚴重的漏洞,他們使用US-CERT來發布了一個建議,讓用戶保護自己不受到攻擊,避免攻擊者們通過遠程攻擊獲得root特權。
AV釣魚漏洞
在去年的Black Hat USA會議上,enSilo的研究員們提到了這個漏洞。他們發現了一個漏洞,AV和安全產品的釣魚引擎與系統交互,讓攻擊者們可以避開內部操作系統的安全控制。漏洞影響了AVG、Kaspersky Lab、McAfee、Symantec、Trend Micro、Bitdefender、Webroot、Avast和Vera。
DoubleAgent
它本質上可能并不是一個安全產品的漏洞,但今年年初被發現的一種盛行的攻擊表明,存在一種欺騙性的手段可以將AV產品變成惡意軟件。這種被稱為DoubleAgent的攻擊利用了一個叫做Microsoft Application Verifier的Windows工具,來向AV中植入惡意代碼,在系統中將惡意軟件偽裝成AV。
“Crazy Bad”Windows惡意軟件引擎漏洞
這個春天,由于另外一個極其嚴重的遠程編碼執行漏洞,微軟的惡意軟件保護引擎被摧毀,它出發了US-CERT警報,使得微軟發布了一個帶外補丁。它也是被Ormandy和他在Project Zero的同事Natalie Silanovich發現的——他們將其稱為“Crazy Bad”漏洞。這一安全概念驗證的攻擊僅僅使用網頁來植入一種文件,來部署摧毀內存的病毒。
被用做滲漏工具的云引擎
同時,今年的Black Hat USA會議還進行了幾場關于安全產品漏洞的會談。其中一種引起關注的技術是由SafeBreach的研究員們開發出來的,他們將帶有云功能的AV作為一種向網絡滲漏數據的工具,即使在未聯網的系統中也可以使用。
CCleaner的崩潰
終于談到了CCleaner,它可謂是以上幾種事故中最致命的一個。這個問題十分嚴重,因為通過將惡意軟件偽裝成來自可信源的可信軟件,攻擊者可以攻擊超過兩百萬的終端。
更加嚴重的是,Cisco Talos的研究員發現,一個包含次有效載荷的后門正在瞄準攻擊至少20個對象,來自微軟、谷歌、HTC、索尼、三星、DLink、Akamai、VMware、Linksys和Cisco本身。
我們可以從這些發現的趨勢中觀察到,未來這一類漏洞將會繼續普遍發展。
京公網安備 11010502049343號