信息來源:企業(yè)網(wǎng)
近日���,Avast公司的CCleaner工具的正規(guī)版本遭到攻擊從而成為惡意軟件的載體����,這一例子充分地展現(xiàn)了壞人利用安全工具來開展不法行為的危險性。
數(shù)十年以來�,我們對于安全工具未能正確識別惡意軟件或惡意攻擊所帶來的危險早有耳聞。但最近幾年���,隨著安全研究者和黑客們發(fā)現(xiàn)了通過利用安全工具可以很輕易地摧毀企業(yè)��,危險已驟然升級��。
為了正常工作����,這些工具常常需要極高級別的管理特權(quán),但卻通常在最低級別的系統(tǒng)上運行���。這致使它們成為了攻擊者的首要目標���。
在過去兩年間,許多zero-day漏洞接連出現(xiàn)��,讓犯罪者���、網(wǎng)絡(luò)間諜對于這些漏洞可以帶給他們的收獲垂涎以待�。
FireEye 0Day漏洞
對于安全產(chǎn)品自身缺陷的關(guān)注正在日益增加����,在等待供應商提供對許多疑難的解決行動18個月后,安全研究者Kristian Hermansen公開了FireEye平臺上一個影響嚴重的zero-day漏洞����。此漏洞是一個可以為攻擊者提供被攻擊系統(tǒng)的root訪問的登陸旁路。
AV內(nèi)存分配漏洞
在FireEye漏洞發(fā)現(xiàn)不久的幾個月后���,enSilo的安全研究者們相繼發(fā)現(xiàn)了ACG�、McAfee和Kaspersky Lab提供的軟件都在分配內(nèi)存方面存在漏洞����,使攻擊者可以將這些AV系統(tǒng)轉(zhuǎn)化成為攻擊其他應用程序的工具。
Juniper后門
上述的內(nèi)存分配漏洞出現(xiàn)的幾天后��,又有一個重大危機被發(fā)現(xiàn)�,Juniper防火墻在面向用戶時,存在一個認證后門直接通往產(chǎn)品的源代碼�����。這個后門在被發(fā)現(xiàn)前已經(jīng)存在了兩年之久���。
TrendMicro的“ridiculous”漏洞以及其他
在2016年間�,Trend Micro一直不斷遭受攻擊��,使安全供應商也受到?jīng)_擊�����。谷歌Project Zero的研究員Tavis Ormandy完成了一項研究���,發(fā)現(xiàn)Trend的密碼管理員中有一個漏洞��,在很微小的工作當中允許隨機命令執(zhí)行���,這個漏洞被他成為“ridiculous”�。同時���,研究員們還在對Trend Micro繼續(xù)進行研究���。在六個月的研究過程中,研究員Roberto Suggi Liverani和Steven Seeley稱����,他們在Trend產(chǎn)品中找到了將近200個可以遠程開發(fā)的漏洞,不需要任何用戶交流就可以被觸發(fā)�����。
Symantec遠程執(zhí)行漏洞
Trend Micro并不是唯一被發(fā)現(xiàn)存在漏洞的供應商����。事實上,Ormandy也在24個Symantec的產(chǎn)品中發(fā)現(xiàn)了一系列極其嚴重的漏洞,他們使用US-CERT來發(fā)布了一個建議��,讓用戶保護自己不受到攻擊�,避免攻擊者們通過遠程攻擊獲得root特權(quán)。
AV釣魚漏洞
在去年的Black Hat USA會議上�����,enSilo的研究員們提到了這個漏洞���。他們發(fā)現(xiàn)了一個漏洞,AV和安全產(chǎn)品的釣魚引擎與系統(tǒng)交互�,讓攻擊者們可以避開內(nèi)部操作系統(tǒng)的安全控制。漏洞影響了AVG�、Kaspersky Lab、McAfee�����、Symantec���、Trend Micro���、Bitdefender、Webroot、Avast和Vera�����。
DoubleAgent
它本質(zhì)上可能并不是一個安全產(chǎn)品的漏洞��,但今年年初被發(fā)現(xiàn)的一種盛行的攻擊表明�,存在一種欺騙性的手段可以將AV產(chǎn)品變成惡意軟件。這種被稱為DoubleAgent的攻擊利用了一個叫做Microsoft Application Verifier的Windows工具�,來向AV中植入惡意代碼,在系統(tǒng)中將惡意軟件偽裝成AV�。
“Crazy Bad”Windows惡意軟件引擎漏洞
這個春天,由于另外一個極其嚴重的遠程編碼執(zhí)行漏洞�����,微軟的惡意軟件保護引擎被摧毀���,它出發(fā)了US-CERT警報��,使得微軟發(fā)布了一個帶外補丁�����。它也是被Ormandy和他在Project Zero的同事Natalie Silanovich發(fā)現(xiàn)的——他們將其稱為“Crazy Bad”漏洞�。這一安全概念驗證的攻擊僅僅使用網(wǎng)頁來植入一種文件,來部署摧毀內(nèi)存的病毒����。
被用做滲漏工具的云引擎
同時,今年的Black Hat USA會議還進行了幾場關(guān)于安全產(chǎn)品漏洞的會談�。其中一種引起關(guān)注的技術(shù)是由SafeBreach的研究員們開發(fā)出來的,他們將帶有云功能的AV作為一種向網(wǎng)絡(luò)滲漏數(shù)據(jù)的工具���,即使在未聯(lián)網(wǎng)的系統(tǒng)中也可以使用。
CCleaner的崩潰
終于談到了CCleaner�����,它可謂是以上幾種事故中最致命的一個����。這個問題十分嚴重,因為通過將惡意軟件偽裝成來自可信源的可信軟件���,攻擊者可以攻擊超過兩百萬的終端����。
更加嚴重的是����,Cisco Talos的研究員發(fā)現(xiàn)��,一個包含次有效載荷的后門正在瞄準攻擊至少20個對象���,來自微軟、谷歌���、HTC���、索尼、三星��、DLink����、Akamai、VMware�����、Linksys和Cisco本身���。
我們可以從這些發(fā)現(xiàn)的趨勢中觀察到���,未來這一類漏洞將會繼續(xù)普遍發(fā)展�����。
