信息來(lái)源:企業(yè)網(wǎng)
近日,Avast公司的CCleaner工具的正規(guī)版本遭到攻擊從而成為惡意軟件的載體�����,這一例子充分地展現(xiàn)了壞人利用安全工具來(lái)開展不法行為的危險(xiǎn)性。
數(shù)十年以來(lái)���,我們對(duì)于安全工具未能正確識(shí)別惡意軟件或惡意攻擊所帶來(lái)的危險(xiǎn)早有耳聞。但最近幾年�,隨著安全研究者和黑客們發(fā)現(xiàn)了通過利用安全工具可以很輕易地摧毀企業(yè),危險(xiǎn)已驟然升級(jí)��。
為了正常工作�����,這些工具常常需要極高級(jí)別的管理特權(quán)�����,但卻通常在最低級(jí)別的系統(tǒng)上運(yùn)行�����。這致使它們成為了攻擊者的首要目標(biāo)����。
在過去兩年間,許多zero-day漏洞接連出現(xiàn),讓犯罪者����、網(wǎng)絡(luò)間諜對(duì)于這些漏洞可以帶給他們的收獲垂涎以待。
FireEye 0Day漏洞
對(duì)于安全產(chǎn)品自身缺陷的關(guān)注正在日益增加�����,在等待供應(yīng)商提供對(duì)許多疑難的解決行動(dòng)18個(gè)月后�,安全研究者Kristian Hermansen公開了FireEye平臺(tái)上一個(gè)影響嚴(yán)重的zero-day漏洞。此漏洞是一個(gè)可以為攻擊者提供被攻擊系統(tǒng)的root訪問的登陸旁路����。
AV內(nèi)存分配漏洞
在FireEye漏洞發(fā)現(xiàn)不久的幾個(gè)月后,enSilo的安全研究者們相繼發(fā)現(xiàn)了ACG�、McAfee和Kaspersky Lab提供的軟件都在分配內(nèi)存方面存在漏洞,使攻擊者可以將這些AV系統(tǒng)轉(zhuǎn)化成為攻擊其他應(yīng)用程序的工具�����。
Juniper后門
上述的內(nèi)存分配漏洞出現(xiàn)的幾天后�,又有一個(gè)重大危機(jī)被發(fā)現(xiàn),Juniper防火墻在面向用戶時(shí)�,存在一個(gè)認(rèn)證后門直接通往產(chǎn)品的源代碼。這個(gè)后門在被發(fā)現(xiàn)前已經(jīng)存在了兩年之久�。
TrendMicro的“ridiculous”漏洞以及其他
在2016年間��,Trend Micro一直不斷遭受攻擊�,使安全供應(yīng)商也受到?jīng)_擊�����。谷歌Project Zero的研究員Tavis Ormandy完成了一項(xiàng)研究�,發(fā)現(xiàn)Trend的密碼管理員中有一個(gè)漏洞���,在很微小的工作當(dāng)中允許隨機(jī)命令執(zhí)行����,這個(gè)漏洞被他成為“ridiculous”��。同時(shí)�,研究員們還在對(duì)Trend Micro繼續(xù)進(jìn)行研究。在六個(gè)月的研究過程中�����,研究員Roberto Suggi Liverani和Steven Seeley稱�,他們?cè)赥rend產(chǎn)品中找到了將近200個(gè)可以遠(yuǎn)程開發(fā)的漏洞,不需要任何用戶交流就可以被觸發(fā)����。
Symantec遠(yuǎn)程執(zhí)行漏洞
Trend Micro并不是唯一被發(fā)現(xiàn)存在漏洞的供應(yīng)商�����。事實(shí)上�����,Ormandy也在24個(gè)Symantec的產(chǎn)品中發(fā)現(xiàn)了一系列極其嚴(yán)重的漏洞�����,他們使用US-CERT來(lái)發(fā)布了一個(gè)建議�����,讓用戶保護(hù)自己不受到攻擊�,避免攻擊者們通過遠(yuǎn)程攻擊獲得root特權(quán)�����。
AV釣魚漏洞
在去年的Black Hat USA會(huì)議上�,enSilo的研究員們提到了這個(gè)漏洞。他們發(fā)現(xiàn)了一個(gè)漏洞�����,AV和安全產(chǎn)品的釣魚引擎與系統(tǒng)交互,讓攻擊者們可以避開內(nèi)部操作系統(tǒng)的安全控制���。漏洞影響了AVG�、Kaspersky Lab��、McAfee�����、Symantec�、Trend Micro�、Bitdefender、Webroot����、Avast和Vera。
DoubleAgent
它本質(zhì)上可能并不是一個(gè)安全產(chǎn)品的漏洞���,但今年年初被發(fā)現(xiàn)的一種盛行的攻擊表明�,存在一種欺騙性的手段可以將AV產(chǎn)品變成惡意軟件�。這種被稱為DoubleAgent的攻擊利用了一個(gè)叫做Microsoft Application Verifier的Windows工具�,來(lái)向AV中植入惡意代碼��,在系統(tǒng)中將惡意軟件偽裝成AV�����。
“Crazy Bad”Windows惡意軟件引擎漏洞
這個(gè)春天�,由于另外一個(gè)極其嚴(yán)重的遠(yuǎn)程編碼執(zhí)行漏洞,微軟的惡意軟件保護(hù)引擎被摧毀���,它出發(fā)了US-CERT警報(bào)�����,使得微軟發(fā)布了一個(gè)帶外補(bǔ)丁���。它也是被Ormandy和他在Project Zero的同事Natalie Silanovich發(fā)現(xiàn)的——他們將其稱為“Crazy Bad”漏洞。這一安全概念驗(yàn)證的攻擊僅僅使用網(wǎng)頁(yè)來(lái)植入一種文件�,來(lái)部署摧毀內(nèi)存的病毒。
被用做滲漏工具的云引擎
同時(shí)�,今年的Black Hat USA會(huì)議還進(jìn)行了幾場(chǎng)關(guān)于安全產(chǎn)品漏洞的會(huì)談。其中一種引起關(guān)注的技術(shù)是由SafeBreach的研究員們開發(fā)出來(lái)的����,他們將帶有云功能的AV作為一種向網(wǎng)絡(luò)滲漏數(shù)據(jù)的工具�����,即使在未聯(lián)網(wǎng)的系統(tǒng)中也可以使用�。
CCleaner的崩潰
終于談到了CCleaner���,它可謂是以上幾種事故中最致命的一個(gè)����。這個(gè)問題十分嚴(yán)重�,因?yàn)橥ㄟ^將惡意軟件偽裝成來(lái)自可信源的可信軟件,攻擊者可以攻擊超過兩百萬(wàn)的終端�。
更加嚴(yán)重的是,Cisco Talos的研究員發(fā)現(xiàn)����,一個(gè)包含次有效載荷的后門正在瞄準(zhǔn)攻擊至少20個(gè)對(duì)象����,來(lái)自微軟、谷歌��、HTC�、索尼�����、三星�、DLink�����、Akamai��、VMware����、Linksys和Cisco本身。
我們可以從這些發(fā)現(xiàn)的趨勢(shì)中觀察到�����,未來(lái)這一類漏洞將會(huì)繼續(xù)普遍發(fā)展�。
