防病毒產(chǎn)品中的嚴重漏洞

　　幾天過后，公司雇來調(diào)查此事件的安全公司給出了一個意料之外的答案：黑客是利用了你電腦上安裝的公司防病毒程序中的一個漏洞才得以進入的，而此程序本應(yīng)保護你的電腦免遭黑客攻擊。這個漏洞的觸發(fā)條件十分簡單，攻擊者只需要給你發(fā)一封郵件，你甚至不需要打開它就中招了。

　　這一場景聽起來似乎有點不大可能，其實不然。通過漏洞研究人員對以往防病毒程序的分析，發(fā)現(xiàn)此類攻擊非常有可能發(fā)生，而且很可能已經(jīng)發(fā)生過了。數(shù)年來，已經(jīng)有一些研究人員試圖警告人們終端防病毒產(chǎn)品中的關(guān)鍵漏洞是有多么容易被找到并利用。

　　近半年以來，研究人員已經(jīng)發(fā)現(xiàn)并報告了數(shù)十個防病毒產(chǎn)品中的嚴重漏洞，涉及的廠商包括卡巴斯基實驗室、ESET、Avast、AVG Technologies、英特爾安全(前邁克菲)和Malwarebytes。這些漏洞中的大多數(shù)都能讓黑客遠程執(zhí)行惡意代碼、濫用防病毒產(chǎn)品自身的功能、獲取被攻破系統(tǒng)的更高權(quán)限，甚至讓第三方應(yīng)用的反漏洞利用防御俯首稱臣。

　　其中某些漏洞甚至不需要用戶互動就能被利用，還允許產(chǎn)生計算機蠕蟲病毒(能自我復(fù)制傳播的惡意程序)。很多情況下，攻擊者只需要給潛在受害者發(fā)送精心編造的電子郵件，在他們經(jīng)常訪問的合法網(wǎng)站中注入惡意代碼，或者將帶有被感染文件的U盤插入他們的電腦即可。

　　即將到來的攻擊

　　證據(jù)顯示，針對防病毒產(chǎn)品的攻擊，尤其是在企業(yè)環(huán)境下，是可行且很有可能的。一些研究人員認為此類攻擊早已發(fā)生，雖然防病毒廠商可能由于受害者數(shù)量少而沒有發(fā)覺。

　　各國政府的情報部門一直對防病毒產(chǎn)品漏洞很感興趣。新聞網(wǎng)站“The Intercept ”6月報道稱，英國政府通信總部(GCHQ)在2008年提交申請更新一份授權(quán)以便可以對卡巴斯基實驗室的防病毒產(chǎn)品進行逆向以找尋弱點。該網(wǎng)站還報道稱，根據(jù)前NSA承包商斯諾登的泄密，美國國家安全局(NSA)也大肆研究防病毒產(chǎn)品以規(guī)避它們的檢測。

　　一個名為“面具”(The Mask)或Careto(西班牙語的mask)的網(wǎng)絡(luò)間諜組織(可能是受國家支持的)，也曾嘗試利用卡巴斯基更早版本的防病毒產(chǎn)品中的漏洞來規(guī)避檢測。在2014年2月該組織的行動被曝光前，超過30個國家的數(shù)百個政府和私營企業(yè)的電腦被該組織滲透。

　　除了上述利用防病毒產(chǎn)品漏洞規(guī)避檢測的主要例子，還有對影響防病毒產(chǎn)品的遠程代碼執(zhí)行漏洞利用的需求，這些漏洞利用代碼經(jīng)由專門的代理人在基本上不受監(jiān)管的漏洞利用市場上銷售。

　　意大利監(jiān)視公司Hacking Team去年被泄露的郵件中，有一份文檔記錄了一家名為“漏洞經(jīng)紀國際”( Vulnerabilities Brokerage International)的機構(gòu)售賣的多種漏洞利用工具。該文檔列出了多款防病毒產(chǎn)品各種不同的提權(quán)、信息披露和檢測規(guī)避漏洞利用，還有一個被標記為“已售出”的ESET NOD32防病毒產(chǎn)品的遠程代碼執(zhí)行漏洞利用。

　　安全研究公司IOActive前首席技術(shù)官，入侵檢測廠商Vectra現(xiàn)任首席安全官岡特·奧爾曼稱，針對防病毒產(chǎn)品的漏洞利用活動已經(jīng)持續(xù)了十幾年。有公司專門針對其客戶感興趣的防病毒產(chǎn)品進行逆向工程，這些公司還逆向現(xiàn)有惡意軟件以劫持已經(jīng)被感染的系統(tǒng)。

　　奧爾曼指出，中國某防病毒產(chǎn)品的遠程可利用漏洞在美國和歐洲情報機構(gòu)眼里價值好幾萬美元。

　　從國家行為者的角度，被檢測到從事此類活動并不明智，所以目標一般都比較小，且控制嚴密。

　　如果美國和歐洲的情報機構(gòu)對此類漏洞利用大感興趣，沒理由認為俄羅斯、中國和其他國家會對此缺少興趣。事實上，一些國家的網(wǎng)絡(luò)間諜組織已多次證明了他們在找尋流行應(yīng)用程序已知漏洞并開發(fā)利用上的能力，將這些技能應(yīng)用到防病毒產(chǎn)品上應(yīng)該不成問題。甚至一些防病毒廠商也承認，盡管他們至今還沒發(fā)現(xiàn)任何一起實例，但對防病毒產(chǎn)品的針對性攻擊是有可能的。

　　卡巴斯基實驗室在對2016年的預(yù)測中特別提到，對安全研究人員和安全廠商的攻擊可能是信息安全界的未來趨勢，但大范圍攻擊的可能性不大。防病毒廠商 Bitdefender則聲稱，針對終端安全程序的攻擊“是絕對可能的”，但可能會是針對企業(yè)環(huán)境而非消費者。

　　滲透測試人員長期以來都對防病毒產(chǎn)品被利用的可能性保持警惕。一名在大型科技公司工作的安全研究人員表示，他的團隊經(jīng)常在滲透測試中嘗試利用防病毒管理服務(wù)器中的漏洞，因為這些服務(wù)器擁有對終端系統(tǒng)的控制權(quán)限，能用于在公司內(nèi)部網(wǎng)絡(luò)中通行無阻。這位研究人員希望保持匿名，因為他的公司不允許他對此作出任何評論。

　　企業(yè)防病毒管理服務(wù)器的漏洞利用不僅在 Hacking Team 泄露事件中的漏洞交易貨品清單中榜上有名，還能在公共漏洞利用數(shù)據(jù)庫中找到。

　　防病毒廠商似乎對他們產(chǎn)品受到大范圍攻擊的可能性不以為然。他們的研究人員大多認為此類攻擊目前不太可能，因為典型的網(wǎng)絡(luò)犯罪團伙有著其它更容易的攻擊目標，比如Flash播放器、Java、Silverlight、IE瀏覽器或者Adobe、微軟Office軟件等。

　　然而，這些普遍使用的應(yīng)用軟件在最近幾年紛紛加固安全措施，而且隨著越來越多的人升級到更新、防護更好的版本，攻擊者們將被迫找尋新的目標。因此，未來針對數(shù)千萬甚至上億消費者使用的防病毒產(chǎn)品的攻擊不能冒然排除在外，尤其是網(wǎng)絡(luò)犯罪分子可能會像之前做過的那樣，有時會借助于零日漏洞。

　　從目前來看，企業(yè)或機構(gòu)還是比普通消費者面臨著更大的防病毒產(chǎn)品漏洞風(fēng)險，尤其是那些身處時常被網(wǎng)絡(luò)間諜組織盯上的產(chǎn)業(yè)中的公司。

　　利用防病毒產(chǎn)品太容易

　　防病毒產(chǎn)品是人編寫的，而只要是人就不可能不犯錯。雖然期待此類程序完全沒有漏洞是不可能的，但我們可以期望它們比其他類型的程序漏洞更少，更難以被利用。

　　一般情況下人們普遍認為，信息安全相關(guān)產(chǎn)業(yè)的公司會遵從安全編程指南，在他們的產(chǎn)品中具有反漏洞利用防御措施，并經(jīng)常性地進行代碼審計和漏洞測試。然而不幸的是，上述安全事項在防病毒的世界里似乎是罕見的。

　　防病毒程序要能夠檢查來自一系列源頭的大量數(shù)據(jù)和文件類型：Web、電子郵件、本地文件系統(tǒng)、網(wǎng)絡(luò)共享、USB接入的存儲設(shè)備等等。它們還要有大量的組件實現(xiàn)分層防護：攔截網(wǎng)絡(luò)流量的驅(qū)動，集成進瀏覽器和電子郵件客戶端的插件，圖形用戶界面，執(zhí)行基于簽名、基于行為和基于云掃描的子系統(tǒng)防病毒引擎……

　　這就是安全研究人員所謂的超大攻擊界面，意味著有大量潛在的漏洞代碼供攻擊者以各種方式進行研究。另外，當(dāng)涉及到防病毒產(chǎn)品，其大部分代碼都是以最高可能權(quán)限執(zhí)行的，可這是安全研究人員應(yīng)該盡可能避免的。

　　谷歌安全研究員塔維斯·奧曼迪在其9月發(fā)表的一篇漏洞分析中表示，“防病毒產(chǎn)品極大增加了對針對性攻擊的暴露面，提供了一個很容易得手的攻擊界面。因此，安全產(chǎn)品廠商有責(zé)任保持盡可能高的安全開發(fā)標準以最小化因他們的產(chǎn)品而引發(fā)的可能損害。”

　　近半年來，奧曼迪就發(fā)現(xiàn)并報告了超過25個防病毒產(chǎn)品漏洞，涵蓋了ESET、卡巴斯基實驗室、AVG和Avast。之前他還在守護使和微軟產(chǎn)品中發(fā)現(xiàn)過漏洞。奧曼迪發(fā)現(xiàn)的很多漏洞都源于文件和數(shù)據(jù)解析操作，這種操作一直以來都是所有應(yīng)用程序的漏洞來源。

　　“在未來，我們有可能看到防病毒脫殼器、模擬器和解析器都在沙盒中運行，不以系統(tǒng)權(quán)限執(zhí)行。谷歌瀏覽器沙盒是開源的，且被多種主流產(chǎn)品使用。別再等著被網(wǎng)絡(luò)蠕蟲盯上你的產(chǎn)品了，也別再等著你的用戶被人進行針對性攻擊了，今天就在你的開發(fā)路線圖中加上沙盒技術(shù)吧。”

　　知法犯法

　　防病毒產(chǎn)品中缺乏類似沙盒這種安全緩解技術(shù)，以及它們太多的組件都在系統(tǒng)權(quán)限下運行的事實，早在奧爾曼指出之前就已經(jīng)有人提出警告。

　　2014年，一位名為喬斯因·柯羅特的安全研究員在14款防病毒產(chǎn)品及它們的引擎中發(fā)現(xiàn)了遠程和本地可利用漏洞。據(jù)柯羅特所言，防病毒產(chǎn)業(yè)至少應(yīng)該采用類似權(quán)限分離和沙盒之類的技術(shù)，但想要真正令防病毒產(chǎn)品安全，還需要采取更多的安全措施。

　　很多防病毒產(chǎn)品都對中間人攻擊束手無策，因為它們沒有采用e SSL/TLS通信，且它們下載的組件通常都沒有經(jīng)過簽名。它們沒有應(yīng)用當(dāng)代瀏覽器都有的反漏洞利用措施，也沒有用仿真模擬來掃描可執(zhí)行文件或使用內(nèi)存安全的編程語言。

　　更糟的是，有證據(jù)顯示，很多防病毒產(chǎn)品甚至沒有對安全缺陷進行適當(dāng)?shù)膶徲?。比如奧曼迪發(fā)現(xiàn)的那些漏洞就明顯從未經(jīng)過審計，因為這種漏洞只要審計的話，在第一輪評估中就很可能在一周之內(nèi)被審計人員發(fā)現(xiàn)。

　　漏洞情報公司Risk Based Security(RBS)首席研究官卡斯滕·艾拉姆認為，防病毒廠商應(yīng)該盡可能地以最小權(quán)限運行他們的產(chǎn)品，使用沙盒執(zhí)行敏感功能，并盡力保證一個整體穩(wěn)固安全的代碼成熟度。

　　RBS的數(shù)據(jù)顯示，自2010年1月1日起，大約有1773個安全軟件和設(shè)備漏洞被提交，僅2015年就有372個，其中絕大多數(shù)可通過篡改輸入進行利用。

　　按理來說，安全廠商應(yīng)該遵守更高的安全編碼標準，但現(xiàn)實情況卻恰恰相反。基本的模糊測試(Fuzzing)就能在解析功能里發(fā)現(xiàn)一連串的漏洞，而解析功能一直都是極易造成漏洞的元兇，更甚者解析功能竟然是在系統(tǒng)權(quán)限下運行。

　　沙盒的問題

　　防病毒廠商覺得沙盒技術(shù)在防病毒產(chǎn)品中不適用，大多是因為它可能會影響性能。有些廠商宣稱他們采取了其他步驟，比如降低權(quán)限，進行定期安全評估，開發(fā)與沙盒技術(shù)同樣效果的其他技術(shù)等。

　　賽門鐵克正試圖減小其產(chǎn)品和服務(wù)的攻擊界面。該公司稱，其所采用的方法是將其安全組件以盡可能低的權(quán)限執(zhí)行以減小成功攻擊的可能性。

　　卡巴斯基實驗室則稱，有效解決漏洞問題遠非只采用一種技術(shù)那么簡單。該公司采用了多種它認為可以提供最佳客戶防護的技術(shù)。比如說，采用機器學(xué)習(xí)算法有效利用起它所采集到的大量安全情報和知識。

　　‘沙盒’方法除了眾所周知的簡單性，還有很多嚴重不足，影響到程序性能、效率和兼容性。

　　英特爾安全即邁克菲則表示，一旦該得知潛在的問題，將立即對其有效性、屬性和嚴重性進行調(diào)查，并著手開發(fā)相應(yīng)的修復(fù)程序。

　　沒人認為防病毒廠商在發(fā)現(xiàn)漏洞時修復(fù)不夠快。事實上，其中一些廠商擁有令人驚訝的響應(yīng)時間，他們的產(chǎn)品也被默認配置為自動更新。但問題在于此類產(chǎn)品中一開始就存在的漏洞數(shù)量和類型。

　　賽門鐵克和英特爾安全都拒絕回答關(guān)于沙盒技術(shù)、針對防病毒產(chǎn)品攻擊的可能性、此類產(chǎn)品檢測針對性攻擊的有效性、或其他安全研究人員提出批評等具體問題。

　　防病毒廠商Bitdefender稱，類似谷歌提供的沙盒并不是安全產(chǎn)品中可行的工程解決方案。因為反惡意軟件解決方案必須能夠每秒攔截過濾上千個系統(tǒng)事件，沙盒機制將給系統(tǒng)帶來很嚴重的性能影響，或許會比操作系統(tǒng)廠商所能忍受的影響更大。

　　該公司宣稱其大部分產(chǎn)品組件，比如反惡意軟件引擎和主動威脅控制子系統(tǒng)，都已經(jīng)只在登錄用戶的權(quán)限下運行，并正使用交換過程限制以系統(tǒng)權(quán)限運行的組件數(shù)量，甚至在針對個人消費的產(chǎn)品中也是這么做的。

　　Bitdefender開發(fā)了名為重力區(qū)域(Gravity Zone)的解決方案，允許管理員在網(wǎng)絡(luò)中另一臺主機上而不是在終端本身上運行掃描服務(wù)。最近他們還引入了基于虛擬機管理程序的內(nèi)存反思(HVMI)技術(shù)，通過在操作系統(tǒng)外部的1型虛擬機管理程序中部署來完全隔離反惡意軟件解決方案。

　　這種隔離將反惡意軟件引擎與在用戶環(huán)境下運行的rootkit或漏洞利用完全分離開來。

　　風(fēng)險vs回報

　　防病毒產(chǎn)品帶來的巨大而簡單的攻擊界面以及針對性攻擊的可能性，引發(fā)了對于是否值得在某些企業(yè)環(huán)境中安裝此類程序的疑問。

　　當(dāng)面對復(fù)雜而精心設(shè)計的惡意軟件程序，比如網(wǎng)絡(luò)間諜組織的APT攻擊，終端防病毒產(chǎn)品是否有效是值得懷疑的。一些安全研究人員認為，與面對的風(fēng)險相比，回報幾乎可忽略不計，尤其是對那些容易被APT攻擊者盯上的公司而言。因此，也許防病毒產(chǎn)品只適合于非常小的公司和家庭用戶。

　　無論防病毒程序如何標榜自己的功能強大和酷炫，它也不能檢測出未知威脅，而規(guī)避防病毒檢測對大多數(shù)惡意軟件開發(fā)者而言都是小菜一碟，他們通常都會在發(fā)布惡意代碼前進行多種防病毒軟件的檢測。終端防病毒產(chǎn)品的批評者則認為，越來越內(nèi)置于操作系統(tǒng)的安全防護措施最終將使防病毒產(chǎn)品過時淘汰。

　　事實上，一些防病毒廠商不得不暗中破壞操作系統(tǒng)內(nèi)置的安全機制以使他們的產(chǎn)品能夠順利運行。比如最近剛曝光的一起事件，就是一個活生生的例子。

　　以色列數(shù)據(jù)防泄漏公司enSilo報告了一個在英特爾安全、卡巴斯基實驗室和AVG產(chǎn)品中發(fā)現(xiàn)的漏洞，此漏洞可關(guān)閉為其他應(yīng)用程序設(shè)計的基于操作系統(tǒng)的反漏洞利用保護措施。

　　enSilo研究人員在技術(shù)文檔中描述，這些防病毒產(chǎn)品為屬于Adobe閱讀器和網(wǎng)頁瀏覽器等應(yīng)用程序的用戶進程分配了一個具有可讀可寫可執(zhí)行權(quán)限的內(nèi)存頁面，這一行為可幫助攻擊者擊潰為第三方應(yīng)用程序而設(shè)的Windows漏洞利用緩解機制，比如地址空間布局隨機化(ASLR)和數(shù)據(jù)執(zhí)行保護(DEP)，讓攻擊者更加容易地利用在這些程序中發(fā)現(xiàn)的漏洞。

　　如何選擇防病毒產(chǎn)品

　　終端防病毒程序可以在很大的程度上減少已知威脅，但其安全性也同時取決于這些威脅發(fā)生的可能性和防病毒產(chǎn)品本身的整體安全性。

　　人們應(yīng)該慎重考慮什么安全軟件適合他們的環(huán)境，尤其是什么功能才是他們真正需要啟用的。企業(yè)購買防病毒產(chǎn)品的時候，應(yīng)該核查候選廠商的安全記錄，查看他們處理影響自身產(chǎn)品漏洞的反應(yīng)速度，以及這些漏洞的類型和嚴重性。不能因為覺得這是安全軟件就放松警惕，“安全軟件不安全”并非危言聳聽。

　　對惡意軟件的復(fù)雜性永遠不能低估，但同時也不是說防病毒產(chǎn)品就是無效的。在開發(fā)出全面檢測高級威脅和瞄準企業(yè)的針對性攻擊的綜合性策略之前，可以過濾和封鎖普通惡意軟件的傳統(tǒng)殺毒軟件也不可或缺。減少企業(yè)和個人數(shù)據(jù)被竊風(fēng)險的唯一方法，就是綜合了傳統(tǒng)防病毒軟件和下一代防護工具、情報共享、安全服務(wù)、IT專業(yè)人員培訓(xùn)和對硬軟件的定期安全評估的多層策略。

　　不可否認，確實有防病毒產(chǎn)品漏報惡意軟件樣本的案例，但與每時每刻都在大量涌現(xiàn)的惡意程序相比，漏報只是小概率事件。防病毒軟件還是擔(dān)當(dāng)著過濾大部分惡意軟件的責(zé)任，也就是基于已知漏洞或已知惡意軟件樣本的過濾，然后再用安全意識程序之類的反惡意軟件解決方案來補足。

　　一種在高風(fēng)險環(huán)境中可以替代防病毒程序的技術(shù)是應(yīng)用程序白名單，這種技術(shù)只允許預(yù)先批準的應(yīng)用程序在電腦上運行。美國國家標準與技術(shù)研究院(NIST)最近提倡使用這種在某些操作系統(tǒng)里默認可用的防護機制，甚至發(fā)布了一份帶推薦操作實踐的指南。

　　網(wǎng)絡(luò)邊界防護在保護企業(yè)環(huán)境免受內(nèi)部和外部威脅方面也十分重要，比如說可以阻止數(shù)據(jù)滲漏嘗試。然而，用戶不應(yīng)該假設(shè)網(wǎng)絡(luò)級安全設(shè)備就沒有漏洞。事實上，安全研究人員這些年里也在此類產(chǎn)品中發(fā)現(xiàn)了大量缺陷，在無監(jiān)管的漏洞利用市場上也有此類漏洞的利用代碼在售。