想象一下這種場景,公司it部門打來電話說你的計算機已經被黑客攻破,你必須立即停下手頭的一切工作。但你明明通過了公司的安全教育訓練,并十分确定沒有打開過任何可疑的郵件附件或點選過任何不良連結。你也知道自己的公司有嚴格的更新檔政策,計算機上的軟體都是最新版本。而且,你也不是那種會在工作時間通路非工作相關網站的員工。那麼,這到底是怎麼發生的呢?
防病毒産品中的嚴重漏洞
幾天過後,公司雇來調查此事件的安全公司給出了一個意料之外的答案:黑客是利用了你電腦上安裝的公司防病毒程式中的一個漏洞才得以進入的,而此程式本應保護你的電腦免遭黑客攻擊。這個漏洞的觸發條件十分簡單,攻擊者隻需要給你發一封郵件,你甚至不需要打開它就中招了。
這一場景聽起來似乎有點不大可能,其實不然。通過漏洞研究人員對以往防病毒程式的分析,發現此類攻擊非常有可能發生,而且很可能已經發生過了。數年來,已經有一些研究人員試圖警告人們終端防病毒産品中的關鍵漏洞是有多麼容易被找到并利用。
近半年以來,研究人員已經發現并報告了數十個防病毒産品中的嚴重漏洞,涉及的廠商包括卡巴斯基實驗室、eset、avast、avg technologies、英特爾安全(前邁克菲)和malwarebytes。這些漏洞中的大多數都能讓黑客遠端執行惡意代碼、濫用防病毒産品自身的功能、擷取被攻破系統的更高權限,甚至讓第三方應用的反漏洞利用防禦俯首稱臣。
其中某些漏洞甚至不需要使用者互動就能被利用,還允許産生計算機蠕蟲病毒(能自我複制傳播的惡意程式)。很多情況下,攻擊者隻需要給潛在受害者發送精心編造的電子郵件,在他們經常通路的合法網站中注入惡意代碼,或者将帶有被感染檔案的u盤插入他們的電腦即可。
即将到來的攻擊
證據顯示,針對防病毒産品的攻擊,尤其是在企業環境下,是可行且很有可能的。一些研究人員認為此類攻擊早已發生,雖然防病毒廠商可能由于受害者數量少而沒有發覺。
各國政府的情報部門一直對防病毒産品漏洞很感興趣。新聞網站“the intercept ”6月報道稱,英國政府通信總部(gchq)在2008年送出申請更新一份授權以便可以對卡巴斯基實驗室的防病毒産品進行逆向以找尋弱點。該網站還報道稱,根據前nsa承包商斯諾登的洩密,美國國家安全局(nsa)也大肆研究防病毒産品以規避它們的檢測。
一個名為“面具”(the mask)或careto(西班牙語的mask)的網絡間諜組織(可能是受國家支援的),也曾嘗試利用卡巴斯基更早版本的防病毒産品中的漏洞來規避檢測。在2014年2月該組織的行動被曝光前,超過30個國家的數百個政府和私營企業的電腦被該組織滲透。
除了上述利用防病毒産品漏洞規避檢測的主要例子,還有對影響防病毒産品的遠端代碼執行漏洞利用的需求,這些漏洞利用代碼經由專門的代理人在基本上不受監管的漏洞利用市場上銷售。
意大利監視公司hacking team去年被洩露的郵件中,有一份文檔記錄了一家名為“漏洞經紀國際”( vulnerabilities brokerage international)的機構售賣的多種漏洞利用工具。該文檔列出了多款防病毒産品各種不同的提權、資訊披露和檢測規避漏洞利用,還有一個被标記為“已售出”的eset nod32防病毒産品的遠端代碼執行漏洞利用。
安全研究公司ioactive前首席技術官,入侵檢測廠商vectra現任首席安全官岡特·奧爾曼稱,針對防病毒産品的漏洞利用活動已經持續了十幾年。有公司專門針對其客戶感興趣的防病毒産品進行逆向工程,這些公司還逆向現有惡意軟體以劫持已經被感染的系統。
奧爾曼指出,中國某防病毒産品的遠端可利用漏洞在美國和歐洲情報機構眼裡價值好幾萬美元。
從國家行為者的角度,被檢測到從事此類活動并不明智,是以目标一般都比較小,且控制嚴密。
如果美國和歐洲的情報機構對此類漏洞利用大感興趣,沒理由認為俄羅斯、中國和其他國家會對此缺少興趣。事實上,一些國家的網絡間諜組織已多次證明了他們在找尋流行應用程式已知漏洞并開發利用上的能力,将這些技能應用到防病毒産品上應該不成問題。甚至一些防病毒廠商也承認,盡管他們至今還沒發現任何一起執行個體,但對防病毒産品的針對性攻擊是有可能的。
卡巴斯基實驗室在對2016年的預測中特别提到,對安全研究人員和安全廠商的攻擊可能是資訊安全界的未來趨勢,但大範圍攻擊的可能性不大。防病毒廠商 bitdefender則聲稱,針對終端安全程式的攻擊“是絕對可能的”,但可能會是針對企業環境而非消費者。
滲透測試人員長期以來都對防病毒産品被利用的可能性保持警惕。一名在大型科技公司工作的安全研究人員表示,他的團隊經常在滲透測試中嘗試利用防病毒管理伺服器中的漏洞,因為這些伺服器擁有對終端系統的控制權限,能用于在公司内部網絡中通行無阻。這位研究人員希望保持匿名,因為他的公司不允許他對此作出任何評論。
企業防病毒管理伺服器的漏洞利用不僅在 hacking team 洩露事件中的漏洞交易貨品清單中榜上有名,還能在公共漏洞利用資料庫中找到。
防病毒廠商似乎對他們産品受到大範圍攻擊的可能性不以為然。他們的研究人員大多認為此類攻擊目前不太可能,因為典型的網絡幫派有着其它更容易的攻擊目标,比如flash播放器、java、silverlight、ie浏覽器或者adobe、微軟office軟體等。
然而,這些普遍使用的應用軟體在最近幾年紛紛加強安全措施,而且随着越來越多的人更新到更新、防護更好的版本,攻擊者們将被迫找尋新的目标。是以,未來針對數千萬甚至上億消費者使用的防病毒産品的攻擊不能冒然排除在外,尤其是網絡犯罪分子可能會像之前做過的那樣,有時會借助于零日漏洞。
從目前來看,企業或機構還是比普通消費者面臨着更大的防病毒産品漏洞風險,尤其是那些身處時常被網絡間諜組織盯上的産業中的公司。
利用防病毒産品太容易
防病毒産品是人編寫的,而隻要是人就不可能不犯錯。雖然期待此類程式完全沒有漏洞是不可能的,但我們可以期望它們比其他類型的程式漏洞更少,更難以被利用。
一般情況下人們普遍認為,資訊安全相關産業的公司會遵從安全程式設計指南,在他們的産品中具有反漏洞利用防禦措施,并經常性地進行代碼審計和漏洞測試。然而不幸的是,上述安全事項在防病毒的世界裡似乎是罕見的。
防病毒程式要能夠檢查來自一系列源頭的大量資料和檔案類型:web、電子郵件、本地檔案系統、網絡共享、usb接入的儲存設備等等。它們還要有大量的元件實作分層防護:攔截網絡流量的驅動,內建進浏覽器和電子郵件用戶端的插件,圖形使用者界面,執行基于簽名、基于行為和基于雲掃描的子系統防病毒引擎……
這就是安全研究人員所謂的超大攻擊界面,意味着有大量潛在的漏洞代碼供攻擊者以各種方式進行研究。另外,當涉及到防病毒産品,其大部分代碼都是以最高可能權限執行的,可這是安全研究人員應該盡可能避免的。
谷歌安全研究員塔維斯·奧曼迪在其9月發表的一篇漏洞分析中表示,“防病毒産品極大增加了對針對性攻擊的暴露面,提供了一個很容易得手的攻擊界面。是以,安全産品廠商有責任保持盡可能高的安全開發标準以最小化因他們的産品而引發的可能損害。”
近半年來,奧曼迪就發現并報告了超過25個防病毒産品漏洞,涵蓋了eset、卡巴斯基實驗室、avg和avast。之前他還在守護使和微軟産品中發現過漏洞。奧曼迪發現的很多漏洞都源于檔案和資料解析操作,這種操作一直以來都是所有應用程式的漏洞來源。
“在未來,我們有可能看到防病毒脫殼器、模拟器和解析器都在沙盒中運作,不以系統權限執行。谷歌浏覽器沙盒是開源的,且被多種主流産品使用。别再等着被網絡蠕蟲盯上你的産品了,也别再等着你的使用者被人進行針對性攻擊了,今天就在你的開發路線圖中加上沙盒技術吧。”
知法犯法
防病毒産品中缺乏類似沙盒這種安全緩解技術,以及它們太多的元件都在系統權限下運作的事實,早在奧爾曼指出之前就已經有人提出警告。
2014年,一位名為喬斯因·柯羅特的安全研究員在14款防病毒産品及它們的引擎中發現了遠端和本地可利用漏洞。據柯羅特所言,防病毒産業至少應該采用類似權限分離和沙盒之類的技術,但想要真正令防病毒産品安全,還需要采取更多的安全措施。
很多防病毒産品都對中間人攻擊束手無策,因為它們沒有采用e ssl/tls通信,且它們下載下傳的元件通常都沒有經過簽名。它們沒有應用當代浏覽器都有的反漏洞利用措施,也沒有用仿真模拟來掃描可執行檔案或使用記憶體安全的程式設計語言。
更糟的是,有證據顯示,很多防病毒産品甚至沒有對安全缺陷進行适當的審計。比如奧曼迪發現的那些漏洞就明顯從未經過審計,因為這種漏洞隻要審計的話,在第一輪評估中就很可能在一周之内被審計人員發現。
漏洞情報公司risk based security(rbs)首席研究官卡斯滕·艾拉姆認為,防病毒廠商應該盡可能地以最小權限運作他們的産品,使用沙盒執行敏感功能,并盡力保證一個整體穩固安全的代碼成熟度。
rbs的資料顯示,自2010年1月1日起,大約有1773個安全軟體和裝置漏洞被送出,僅2015年就有372個,其中絕大多數可通過篡改輸入進行利用。
按理來說,安全廠商應該遵守更高的安全編碼标準,但現實情況卻恰恰相反。基本的模糊測試(fuzzing)就能在解析功能裡發現一連串的漏洞,而解析功能一直都是極易造成漏洞的元兇,更甚者解析功能竟然是在系統權限下運作。
沙盒的問題
防病毒廠商覺得沙盒技術在防病毒産品中不适用,大多是因為它可能會影響性能。有些廠商宣稱他們采取了其他步驟,比如降低權限,進行定期安全評估,開發與沙盒技術同樣效果的其他技術等。
賽門鐵克正試圖減小其産品和服務的攻擊界面。該公司稱,其所采用的方法是将其安全元件以盡可能低的權限執行以減小成功攻擊的可能性。
卡巴斯基實驗室則稱,有效解決漏洞問題遠非隻采用一種技術那麼簡單。該公司采用了多種它認為可以提供最佳客戶防護的技術。比如說,采用機器學習算法有效利用起它所采集到的大量安全情報和知識。
‘沙盒’方法除了衆所周知的簡單性,還有很多嚴重不足,影響到程式性能、效率和相容性。
英特爾安全即邁克菲則表示,一旦該得知潛在的問題,将立即對其有效性、屬性和嚴重性進行調查,并着手開發相應的修複程式。
沒人認為防病毒廠商在發現漏洞時修複不夠快。事實上,其中一些廠商擁有令人驚訝的響應時間,他們的産品也被預設配置為自動更新。但問題在于此類産品中一開始就存在的漏洞數量和類型。
賽門鐵克和英特爾安全都拒絕回答關于沙盒技術、針對防病毒産品攻擊的可能性、此類産品檢測針對性攻擊的有效性、或其他安全研究人員提出批評等具體問題。
防病毒廠商bitdefender稱,類似谷歌提供的沙盒并不是安全産品中可行的工程解決方案。因為反惡意軟體解決方案必須能夠每秒攔截過濾上千個系統事件,沙盒機制将給系統帶來很嚴重的性能影響,或許會比作業系統廠商所能忍受的影響更大。
該公司宣稱其大部分産品元件,比如反惡意軟體引擎和主動威脅控制子系統,都已經隻在登入使用者的權限下運作,并正使用交換過程限制以系統權限運作的元件數量,甚至在針對個人消費的産品中也是這麼做的。
bitdefender開發了名為重力區域(gravity zone)的解決方案,允許管理者在網絡中另一台主機上而不是在終端本身上運作掃描服務。最近他們還引入了基于虛拟機管理程式的記憶體反思(hvmi)技術,通過在作業系統外部的1型虛拟機管理程式中部署來完全隔離反惡意軟體解決方案。
這種隔離将反惡意軟體引擎與在使用者環境下運作的rootkit或漏洞利用完全分離開來。
風險vs回報
防病毒産品帶來的巨大而簡單的攻擊界面以及針對性攻擊的可能性,引發了對于是否值得在某些企業環境中安裝此類程式的疑問。
當面對複雜而精心設計的惡意軟體程式,比如網絡間諜組織的apt攻擊,終端防病毒産品是否有效是值得懷疑的。一些安全研究人員認為,與面對的風險相比,回報幾乎可忽略不計,尤其是對那些容易被apt攻擊者盯上的公司而言。是以,也許防病毒産品隻适合于非常小的公司和家庭使用者。
無論防病毒程式如何标榜自己的功能強大和酷炫,它也不能檢測出未知威脅,而規避防病毒檢測對大多數惡意軟體開發者而言都是小菜一碟,他們通常都會在釋出惡意代碼前進行多種防病毒軟體的檢測。終端防病毒産品的批評者則認為,越來越内置于作業系統的安全防護措施最終将使防病毒産品過時淘汰。
事實上,一些防病毒廠商不得不暗中破壞作業系統内置的安全機制以使他們的産品能夠順利運作。比如最近剛曝光的一起事件,就是一個活生生的例子。
以色列資料防洩漏公司ensilo報告了一個在英特爾安全、卡巴斯基實驗室和avg産品中發現的漏洞,此漏洞可關閉為其他應用程式設計的基于作業系統的反漏洞利用保護措施。
ensilo研究人員在技術文檔中描述,這些防病毒産品為屬于adobe閱讀器和網頁浏覽器等應用程式的使用者程序配置設定了一個具有可讀可寫可執行權限的記憶體頁面,這一行為可幫助攻擊者擊潰為第三方應用程式而設的windows漏洞利用緩解機制,比如位址空間布局随機化(aslr)和資料執行保護(dep),讓攻擊者更加容易地利用在這些程式中發現的漏洞。
如何選擇防病毒産品
終端防病毒程式可以在很大的程度上減少已知威脅,但其安全性也同時取決于這些威脅發生的可能性和防病毒産品本身的整體安全性。
人們應該慎重考慮什麼安全軟體适合他們的環境,尤其是什麼功能才是他們真正需要啟用的。企業購買防病毒産品的時候,應該核查候選廠商的安全記錄,檢視他們處理影響自身産品漏洞的反應速度,以及這些漏洞的類型和嚴重性。不能因為覺得這是安全軟體就放松警惕,“安全軟體不安全”并非危言聳聽。
對惡意軟體的複雜性永遠不能低估,但同時也不是說防病毒産品就是無效的。在開發出全面檢測進階威脅和瞄準企業的針對性攻擊的綜合性政策之前,可以過濾和封鎖普通惡意軟體的傳統防毒軟體也不可或缺。減少企業和個人資料被竊風險的唯一方法,就是綜合了傳統防病毒軟體和下一代防護工具、情報共享、安全服務、it專業人員教育訓練和對硬軟體的定期安全評估的多層政策。
不可否認,确實有防病毒産品漏報惡意軟體樣本的案例,但與每時每刻都在大量湧現的惡意程式相比,漏報隻是小機率事件。防病毒軟體還是擔當着過濾大部分惡意軟體的責任,也就是基于已知漏洞或已知惡意軟體樣本的過濾,然後再用安全意識程式之類的反惡意軟體解決方案來補足。
一種在高風險環境中可以替代防病毒程式的技術是應用程式白名單,這種技術隻允許預先準許的應用程式在電腦上運作。美國國家标準與技術研究院(nist)最近提倡使用這種在某些作業系統裡預設可用的防護機制,甚至釋出了一份帶推薦操作實踐的指南。
網絡邊界防護在保護企業環境免受内部和外部威脅方面也十分重要,比如說可以阻止資料滲漏嘗試。然而,使用者不應該假設網絡級安全裝置就沒有漏洞。事實上,安全研究人員這些年裡也在此類産品中發現了大量缺陷,在無監管的漏洞利用市場上也有此類漏洞的利用代碼在售。
本文轉自d1net(轉載)
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)