“破殼”漏洞系列分析之二
責(zé)編:admin |2014-10-23 15:04:06安天實(shí)驗(yàn)室安全研究與應(yīng)急處理中心(以下簡(jiǎn)稱:安天CERT)于9月25日凌晨開始響應(yīng)“破殼”漏洞,針對(duì)該漏洞的背景、原理等進(jìn)行了快速地分析,摸索完善了驗(yàn)證方法和網(wǎng)絡(luò)檢測(cè)方法。并于9月25日10時(shí)發(fā)布了《“破殼”漏洞(CVE-2014-6271)綜合分析》(對(duì)應(yīng)網(wǎng)址:http://www.antiy.com/response/CVE-2014-6271.html),并更新了多個(gè)版本。在這個(gè)過程中安天監(jiān)測(cè)采集和樣本交換體系發(fā)現(xiàn)了大量利用該漏洞的掃描攻擊、后門投放等行為,并發(fā)現(xiàn)了多個(gè)與此漏洞相關(guān)的惡意代碼。
基于漏洞的特點(diǎn),安天利用與高校聯(lián)合部署的“探云“體系等進(jìn)行了流量監(jiān)測(cè)。
安天實(shí)驗(yàn)室在《“破殼”漏洞(CVE-2014-6271)綜合分析》(《破殼》三部曲之一)報(bào)告中指出“破殼”漏洞“易于利用其編寫蠕蟲進(jìn)行自動(dòng)化傳播,同時(shí)也將導(dǎo)致僵尸網(wǎng)絡(luò)的發(fā)展”。幾年來,盡管我們捕獲的蠕蟲樣本數(shù)量還在持續(xù)增長(zhǎng),但其中真正有重大影響力的蠕蟲確實(shí)并不多見。但今天,我們看到了“蠕蟲”這個(gè)熟悉而陌生的老對(duì)手,借助“破殼”漏洞借尸還魂。如果說技術(shù)的發(fā)展是一個(gè)上升的螺旋,在某一時(shí)刻會(huì)表現(xiàn)出“高階重復(fù)”的話,那么威脅的演進(jìn)何嘗不是如此呢?
反病毒工作者和反病毒產(chǎn)品為消亡蠕蟲進(jìn)行了很多嘗試,但蠕蟲大面積減少的更大原因還是其生態(tài)的變化。Windows系統(tǒng)控制Outlook的外部調(diào)用,沉重打擊了郵件蠕蟲的傳播;DEP、ASLR、UAC等機(jī)制的引入,大大降低了掃描溢出型蠕蟲傳播的效果;對(duì)自動(dòng)播放的控制,又降低了U盤傳播。而從另一個(gè)角度看,隨著漏洞私密化、攻擊定向化的趨勢(shì),有編寫蠕蟲價(jià)值的漏洞,都被攻擊者深藏武庫,謹(jǐn)慎使用。而同時(shí),一些僵尸網(wǎng)絡(luò)的控制者,也逐漸把利用蠕蟲的方式擴(kuò)展規(guī)模,改為捆綁和FAKEAV等其他方式。
《走出蠕蟲地帶》是安天技術(shù)負(fù)責(zé)人在去年XDEF峰會(huì)上的同名報(bào)告,也是安天AVER反思三部曲的第二部。報(bào)告反思了我們現(xiàn)有的大量從感知到分析的技術(shù)體系,都是在蠕蟲時(shí)代發(fā)端建立起來的,其假定威脅的核心特點(diǎn)是攻擊載荷不斷重復(fù)投放、傳播路徑是從若干源頭的樹狀展開、被感染的節(jié)點(diǎn)會(huì)大量分布。顯然這種機(jī)制在APT的應(yīng)對(duì)中變得薄弱和力不從心。而同時(shí)我們也看到更多用戶也是在大規(guī)模蠕蟲泛濫時(shí),逐漸建立起安全觀念的,往往只有網(wǎng)絡(luò)大量阻塞時(shí),人們才感到網(wǎng)絡(luò)威脅的價(jià)值。而此間,那些更高級(jí)、隱蔽可以帶來戰(zhàn)略影響的攻擊與竊密則可能被忽略了。
這次也是如此,連我們自己都是在相關(guān)BOT和蠕蟲出現(xiàn)后,興奮度異常提高。但我們要慎重看待這種“高階重復(fù)”。如果說一切安全威脅都存在著必然性,有其規(guī)律和動(dòng)力的話。我們只能說,當(dāng)漏洞掌握在少數(shù)攻擊者手中時(shí),可能其表象會(huì)是發(fā)生在定向攻擊乃至APT攻擊當(dāng)中,以提高成功率和降低感知。但當(dāng)嚴(yán)重漏洞一旦公開,其不再具有任何隱蔽性可言,而大量用戶啟動(dòng)修補(bǔ)流程,可攻擊節(jié)點(diǎn)不斷減少的時(shí)候。就會(huì)有更多的攻擊者開始了利益最大化的數(shù)據(jù)或者節(jié)點(diǎn)的攫取,此時(shí)“列王的紛爭(zhēng)”就會(huì)變成“群鴉的盛宴”。
同時(shí),站在一個(gè)更熟悉Windows的安全團(tuán)隊(duì)視角看Linux/MacOS,無疑會(huì)有很多茫然,重新編譯帶來諸多的不變,大量版本帶來的碎片化,又給修補(bǔ)帶來了很多不確定性。而自帶的編譯器和豐富的腳本則既是程序員的舞臺(tái),也是攻擊者的土壤。我們?cè)赪indows攻防中,也經(jīng)常可見BAT和VBS腳本,但通常都是配角而非惡意代碼功能主體。而除非目標(biāo)是代碼污染,把一段C++源碼或者工程丟到被攻擊者的場(chǎng)景中去編譯的行為更非常罕見。而本報(bào)告中的gcc源碼和perl腳本,則價(jià)值完全不同,而這種模式在過去和未來也都并不陌生。這個(gè)方式既符合場(chǎng)景特點(diǎn),同時(shí)也是一個(gè)輕量級(jí)的“免殺”。而未來Linux/MacOS將是重要的攻防戰(zhàn)場(chǎng),盡管相關(guān)惡意代碼的加殼、混淆工具和Windows下大量的地下殼、商用殼相比還那樣簡(jiǎn)單幼稚,但一切早已經(jīng)開始了。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!