杀毒软件可能令企业用户陷入更大危机
2016-01-14 09:39 核子可乐译 51CTO.com 字号:T | T
自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。
【51CTO.com快译】
安全研究人员担心,杀毒产品中的关键性安全漏洞往往极易被发现及利用。
想象一下,如果贵公司的IT部门来电称我们的工作站受到了入侵,我们必须立即停止正常业务运作,这时大家肯定相当愤怒:我们已经顺利通过了企业设置的安全培训,也确定自己从来没有打开过任何可疑的电子邮件附件或者点击任何恶意链接; 另外,我们也清楚自己的企业拥有强大的修复策略并始终保持计算机上的软件处于最新版本; 与此同时,我们也绝不是那种会在工作时间内浏览非工作类网站内容的家伙。那么,到底是哪里出了问题?
几天之后,一项惊人的结论被摆在我们面前——企业雇用的安全调查厂商调查出了事故的源头:黑客利用到了被安装在我们计算机上的企业杀毒程序中的某项缺陷,而该程序的作用恰恰是保护我们免遭攻击侵害。纵观整个过程,攻击者不过是向身为受害者的我们发送了一份邮件消息——而我们甚至根本没有将其打开。
这种威胁场景听起来可能有些牵强,但需要强调的是,其绝对真实存在。根据漏洞研究人员对以往杀毒程序进行的分析,这种攻击活动非常有可能成为现实,甚至可能已经在无声无息中出现。一部分研究人员多年来一直在试图发出警告,从而强调端点杀毒产品当中关键性缺陷被发现及利用的便捷性与可行性。
自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。其中相当一部分安全漏洞会允许攻击者以远程方式在目标计算机上执行恶意代码,进而滥用杀毒产品自身提供的功能,最终在受影响系统中实现权限提升甚至压制住其它第三方应用中的反恶意防御机制。
其中一部分安全漏洞的利用方式甚至完全无需涉及用户界面,使得目标计算机创建蠕虫病毒——即拥有自我传播能力的恶意程序。在多数情况下,攻击者倾向于单纯向潜在受害者发送经过精心设计的特定邮件消息,从而将恶意代码注入至由此类设备访问的合法网站或者通过U盘将恶意文件传播到受害者的计算机当中。
即将在未来全面袭来的攻击活动
有证据表明,对杀毒产品者攻击的行为——特别是在企业迂阔发中——既具备可能性又具备可行性。一部分研究人员认为,此类攻击活动也许已然发生,甚至杀毒产品厂商尚未意识到这一点——因为受害者数量仍然非常有限。
各国政府的情报机构对于杀毒软件中的缺陷一直抱有很大兴趣。新闻网站The Intercept早在去年6月就报道称,英国政府通信总部(简称GCHQ)曾于2008年提出申请,要求更改相关要求以允许该机构对来自卡巴斯基实验室的杀毒产品进行逆向工程并从中寻找薄弱环节。美国国家安全局亦致力于研究杀毒产品,从而规避其检测,该网站援引由爱德华斯诺登披露的部分国安局文件内容称。
某疑似由国家提供赞助的间谍活动组织Careto——也称The Mask——明确试图利用卡巴斯基杀毒产品中的一项安全漏洞以回避检测。该组织于2014年2月对归属于数百个政府机关及私营机构的计算机设备进行了入侵,影响范围跨越超过30个国家。
尽管这里提到的主要是利用杀毒软件中的安全漏洞规避检测的例子,但事实上受感染杀毒产品遭遇远程代码执行状况的案例也时有发生,甚至有某些特定中间商会通过不受监管的地下市场对此类漏洞进行大量出售。
去年意大利监控厂商Hacking Team有大量邮件泄露,其中一份文档显示某家名为Vulnerabilities Brokerage International的机构出售大量漏洞信息。这份文档列出了一系列针对多种杀毒产品的权限提升、信息泄露以及绕过检测机制等安全漏洞,其中某个ESET NOD32杀毒软件中的远程代码执行漏洞被标记为“已售出”状态。
根据入侵检测方案供应商Vectra公司首席安全官兼安全研究企业IOActive公司前任首席技术官Gunter Ollmann的说法,这种状况在过去十年中一直存在。目前已经有多家厂商专门对来自不同国家的主流桌面杀毒产品者逆向工程,从而满足客户们的具体要求,他在电子邮件采访当中解释称。他们还会对现有恶意软件者逆向设计,从而保证其具备对已受感染系统的劫持能力,他表示。
根据Ollmann的解释,中国奇虎360杀毒产品当中的一项远程安全漏洞在美国及欧洲的情报机构处能够卖出数万美元的价格。
“从国家的角度来看,从事这种勾当显然不是什么光彩的事,所以其会将目标范围进行严格控制与精心挑选,”Ollmann指出。
如果来自美国与欧洲的情报机构对此类安全漏洞抱有兴趣,那么无疑俄罗斯、中国以及其它网络力量自然也已经涉入其中。事实上,中国与俄罗斯的网络间谍集团已经多次证明了自己的强大能够以及对流应用内未知漏洞的敏感嗅觉,因此利用同样的技能从杀毒产品中寻求漏洞自然也非难事。
甚至一部分杀毒产品供应商广泛认为,专门针对杀毒产品进行的攻击活动具备很高的可行性——尽管截至目前尚无此类事件出现。
“在我们的2016年预测当中,我们特别提到针对安全研究人员与安全厂商的攻击活动很可能成为信息安全领域的未来发展趋势; 但是,我们认为这类活动不太可能表现为广泛攻击,”卡巴斯基实验室反恶意软件研究项目负责人Vyacheslav Zakorzhevsky在采访邮件当中表示。“举例来说,安全研究人员可能会通过受感染研究工具遭遇攻击,而且由于一切软件皆存在着安全漏洞,因此安全软件本身也很可能在一定程度上成为受影响目标。”
杀毒软件供应商Bitdefender公司亦在邮件当中表示,针对商战安全项目的指向性攻击活动“显然具备可行性”,但这类活动很可能针对的是企业环境而非普通消费者。
渗透测试人员也早已意识到杀毒产品当中所存在的可乘之机。某位效力于一家大型技术企业的安全研究人员指出,他的团队常常会在渗透测试工作当中尝试利用杀毒管理服务器中的安全漏洞,因为此类服务器拥有覆盖全部商战系统的高权限,且可被作为企业网络内部的横向移动平台。他不愿透露自己的姓名,因为他的雇主并未批准其对此事发表评论。
对企业杀毒管理服务器加以利用的作法已经被列入Hacking Team所泄露出的漏洞经纪国际公司产品清单,亦可从某些公共漏洞数据库中找到。
杀毒方案供应商似乎并不担心针对其消费级产品的潜在攻击活动。在大多数情况下,研究人员认为这种攻击活动不太可能出现,因为典型的网络犯罪团伙有着其它更受欢迎的攻击目标选项,例如Flash Player、Java、Silverlight、IE或者微软Office。
然而,这类普及度极广的应用程序的开发商们近年也已经开始想办法缓解其产品遭遇攻击的可能性。而随着更多用户将产品升级至更新、更具保护能力的版本,攻击者们可能被迫寻求新的利用目标。因此,未来针对杀毒产品的攻击活动可能开始面向由数千万甚至数亿普通用户所使用的常规产品,特别是在网络犯罪分子开始将魔爪伸向未知——也就是零日安全漏洞领域之后。事实上,这类情况此前已经出现过。
但单纯立足于当下,企业在杀毒产品方面所面临的攻击风险仍然要远高于普通消费者,特别是那些频繁遭受网络间谍活动侵扰的敏感行业。
入侵杀毒产品难度极低
杀毒软件是由人类所创造,而人类总会犯错误。当然,我们不可能要求此类程序完全不存在任何bug,但正常来讲杀毒产品中的安全缺陷较其它软件类型要更少,其利用难度也相应更高一些。
我们也有理由认为各企业成为IT安全行业中的组成部分,包括严格遵循安全编程指南以在自家产品当中实现常见的反漏洞防御机制,并定期执行代码审计与漏洞测试。
然而遗憾的是,以上观点只是我们的一厢情愿——杀毒业界的实际情况并非如此。
杀毒程序需要有能够对来自多种来源的数据及文件类型进行检查,具体包括网页、电子邮件、本地文件系统、网络共享信息、USB接入存储设备乃至更多。这些杀毒产品亦由大量组件所构成,旨在实现多层级保护效果:负责拦截网络流量的驱动程序、负责与浏览器及邮件客户端相集成的插件、图形用户界面、执行基于签名、行为以及云环境的杀毒引擎扫描子系统等等。
对于安全研究人员来说,这种丰富的功能与定位意味着庞大的攻击面,也就是说攻击者能够以多种方式从其中找到大量潜在漏洞代码。另外,在对杀毒软件进行审视时,我们会发现其中有大量代码拥有极高的运行权限,而这一直是安全研究人员应该尽可能避免的作法。
研究结果显示,杀毒产品会提供“易于被利用的攻击面,并显著增加目标遭受针对性攻击的机率,”谷歌公司安全研究员Tavis Ormandy在去年9月的一篇博文当中指出。在这篇文章中,他同时对自己在过去几个月内所发现的杀毒软件漏洞做出了分析。“出于这个原因,各安全产品供应商有责任尽可能提升安全开发标准,从而最大程度降低其软件造成危害的可能性。”
自去年6月以来,Ormandy先后从来自ESET、卡巴斯基实验室、AVG以及Avast等厂商的杀毒产品当中发现并报告了超过25种安全漏洞。而在此之前,他还曾经从Sophos以及微软的产品中发现类似的安全缺陷。
Ormandy所发现的大部分安全缺陷源自对文件及数据的解析操作,而这也是历史上此类漏洞的一种惯有来源。
“未来,我们将看到更多杀毒软件拆包工具、模拟器以及沙箱解析方案,从而保证其无需以SYSTEM权限加以运行,”Ormandy指出。“Chromium沙箱属于开源项目且为众多主流产品所使用。请不要坐等网络蠕虫将矛头指向我们的产品,或者执行面向用户的针对性攻击,马上行动将沙箱机制加入到各位的发展路线图中来。”
Ormandy并不是第一位对杀毒产品中缺少沙箱等安全应对机制,且各组件以系统级别权限加以运行这一现状发出警告的专家。
2014年,一位名为Joxean Koret的安全研究人员就曾发现14款杀毒产品及其扫描引擎中存在着远程与本地可利用安全缺陷。他给出的建议与Ormandy大致相同。
根据Koret的说明,杀毒行业至少应当采取权限隔离以及沙箱机制等技术手段提供较高的安全水平,同时也需要尽可能对杀毒产品本身进行保护。
目前有很多此类程序中存在着可被中间人攻击所利用的漏洞,因为它们并未使用SSL/TLS进行通信,而其下载的各组件往往亦不具备签名。它们没有采用任何现代浏览器所广泛拥有的反漏洞机制,也没有使用模拟方式扫描可执行文件或者选择内存安全语言,他通过邮件告诉我们。
更糟糕的是,有证据表明很多杀毒产品甚至根本没有针对安全缺陷进行过适合的合规审计,Koret表示。“举例来说,着眼于Tavis Ormandy所发现的各安全漏洞,我们明显可以发现其从未对软件本身进行过审计,因为此类安全漏洞完全可以在每周一次的固定评估过程中被审计工具所发现。”
为了避免潜在的扩散可能性,杀毒软件厂商应当尽可能降低产品运行所采用的权限级别,添加沙箱敏感×××并确保其代码拥有理想的安全水平与成熟度,漏洞情报企业Risk Based Security(简称RBS)公司首席研究官Carsten Eiram指出。
自2010年1月1日开始,已被正式报告的安全软件与设备内安全漏洞已经多达1773个——其中2015年曝出的有372个,而且大部分都可通过输入篡改的方式被实际利用,RBS公布的数据显示。
“安全供应商应当承担起提高安全编码标准的责任,”Eiram表示。“从安全产品解析功能中发现这么多安全漏洞确实令人觉得非常尴尬,因为这长久以来一直被视为主要安全威胁之一。而当上述解析功能以SYSTEM权限运行时,其造成的后果自然更加严重。”
在大多数情况下,杀毒软件供应商往往认为沙箱机制并不适用于杀毒产品,因为这会对性能造成一定影响。一部分厂商甚至宣称,他们会采取其它一些可行方式——例如降低运行权限、执行路由安全评估并开发出其它能够实现等同于沙箱之效果的技术方案。
赛门铁克公司正致力于降低其产品及服务的攻击面。根据该公司的说法,其方案旨在以尽可能低的权限级别运行安全组件,从而降低攻击活动的实现可能性。
而根据卡巴斯基实验室的说法,实际解决安全漏洞的复杂程度要远比单纯使用某种技术手段更高。该公司推出了一系列技术成果,并宣称其能够为客户带来最理想的保护效果。举例来说,其使用多种机器学习算法以使用公司收集到的大规模安全情报与专业知识。
“尽管使用‘沙箱’方案似乎是种更为简单的办法,但其存在着诸多严重缺点,包括影响性能、执行效率以及兼容性,”卡巴斯基公司的Zakorzhevsky解释称。
英特尔Security/McAfee公司则表示当得知存在某项潜在问题时,其会立即进行调查以验证其有效性、性质以及严重程度,并据此制定修复策略。
我想可能没有人会质疑杀毒软件厂商对安全缺陷的发现速度以及尽快发布修复补丁的能力。事实上,其中一些厂商拥有惊人的响应速度,其产品在配置中也默认提供自动更新设计。然而真正的问题在于,相当一部分安全缺陷类型其实自开发阶段起就一直存在于此类产品当中。
赛门铁克与英特尔Security双方都拒绝解决与沙箱技术相关的具体问题、杀毒产品面临攻击行为的可能性、此类产品在检测目标攻击时的具体成效或者其它安全研究人员们所提出的批评意见。
杀毒方案供应商Bitdefender公司指出,谷歌公司推出的类沙箱解决方案不太可能成为安全产品中的有效技术选项。“反恶意软件解决方案每秒都需要拦截数千个系统事件并对其进行沙箱处理,这会给系统整体带来可观的性能影响,甚至远远超出操作系统供应商的可容忍限度。”
Bitdefender公司同时宣称,其大部分产品组件——例如反恶意引擎主动威胁控制子系统——已经以等同于当前所登录用户的权限水平加以运行,且正在利用代理进程来限制其中以系统权限运行的组件数量——包括该公司的消费级产品。
在企业级产品方面,该公司开发出了一套名为Gravity Zone的解决方案,允许管理员在网络上的不同设备运行扫描服务,而非像过去那样面向端点——另外,其最近还推出了HVMI(即基于虚拟机管理程序的内存审查)技术,能够通过在操作系统之外部署Type 1虚拟机管理程序的方式彻底对反恶意解决方案加以隔离。
“这类隔离机制能够将反恶意引擎同rootkit或者其它运行在用户环境下的漏洞区分开来,”该公司强调称。
Avast公司并没有就此做出评论,而Malwarebytes、AVG以及ESET等厂商则明确拒绝在本文发布之前给出回应——虽然我们提供了充足的反应时间。
风险与回报
由杀毒产品所带来的规模可观且易被利用的攻击面在与针对性攻击相结合之后,又带来了新的问题:我们是否有必要在企业环境之下安装此类保护程序?
部分研究人员质疑端点杀毒产品在应对高复杂性及高针对性恶意程序时的实际作用,特别是那些来自网络间谍集团的攻击手段。在他们看来,与由其带来的风险相比,端点杀毒产品带来的回报实在太过有限,特别是对于那些处于经常遭遇针对性攻击侵扰的行业之内的企业而言。
“在我看来,杀毒软件产品只适合用于保护那些小型企业以及家庭用户,”Koret指出。“杀毒产品无法检测到那些未知的威胁——无论具体是什么。杀毒产品的检测功能往往流于形式,而且大多数恶意软件开发人员都会在发布其恶意代码之前首先在主流产品中进行测试,”他解释道。
而作为端点杀毒产品的长期反对者,Ollmann认为安全保护方案越来越多被内置于操作系统当中的趋势将使得这种独立产品形式最终过时。
事实上,即使是在当下,部分杀毒软件供应商也需要侵入操作系统安全机制,从而保证自己的产品能够如设计思路般正常运行——这也进一步证明了其对系统的破坏能力,他补充称。
作为此类状况的一项实例,最近以色列数据泄露预防企业enSilo公司报告称,来自英特尔Security、卡巴斯基实验室以及AVG等厂商的产品中存在一项安全漏洞,能够禁用操作系统内置反漏洞防御机制对其它应用的保护。
这些杀毒产品会为用户模式的读取、写入与执行权限分配一个内存页,而具体权限则同Adobe Reader以及网络浏览器等其它应用相关联,enSilo公司的研究人员在一篇博文当中解释称。这有可能使得攻击者得以绕过Windows系统中的安全防御机制,例如面向第三方应用程序的地址空间布局随机化(简称ASLR)以及数据执行预防(简称DEP),从而帮助自身更轻松地利用这些应用中所存在的安全漏洞。
Eiram还进一步强调称,杀毒产品已经没有立足之地。当然,他认为相当一部分用户——包括家庭用户以及企业环境内用户——仍然需要具备一定程度的操作保护手段,例如避免下载高风险软件或者点击恶意链接。
端点杀毒程序确实能够降低此类基础性威胁。然而杀毒产品本身带来的攻击风险是否更加严重?这取决于此类威胁的具体类型以及所安装杀毒产品的整体安全水平,他指出。
人们应当认真考虑怎样的安全软件真正适合自己的环境,特别是其中是否具备他们最为需要的功能。杀毒产品买家亦应当检查自己的现有选项,了解它们能够快速应对与自身产品相关的安全漏洞,同时通过供应商安全记录审查了解这些缺陷的具体类型及严重程度,Eirams建议称。
“人们不该出于更安全的印象而盲目安装安全软件,”他表示。“实际情况并非如此。”
“我们永远不能低估恶意软件在复杂性层面的发展速度与前进步伐,”卡巴斯基公司的Zakorzhevsky指出。“但与此同时,我也不同意杀毒产品毫无效果这种说法。在出现一套能够检测出全部高复杂性威胁以及针对性攻击活动的解决方案之前,杀毒软件仍是保护业务并对普通恶意软件进行过滤与阻断的整体安全战略中的必要组成部分。”
一项多层次战略应当将传统杀毒软件同下一代保护工具、情报共享、安全服务、IT专业技能培训以及路由安全性评估等方案相结合,同时适用于软件、硬件以及应用程序本身,而这也是我们能够降低企业及个人数据泄露机率的惟一可行方案,他表示。
Bitdefender公司承认,有时候杀毒产品确实会漏掉一些恶意软件样本,但他们表示这种状况在全部威胁事件当中只占约1%比例。
“因此,这最终还是要归结为对攻击可能性的过滤与排查——这项工作基于已知安全漏洞或者已知恶意软件的变种特征——而后将反恶意解决方案同安全意识培养计划作为相互补充,”该公司指出。
能够在高风险环境下实现或者取代杀毒程序的技术方案正是应用程序白名单机制,其只允许预先经过批准的应用程序在计算机上运行。美国国家标准与技术研究所最近鼓励用户使用这种已经被默认内置在部分操作系统当中的保护机制,甚至发布了与之相关的推荐用法指南。
网络边界的保护对于捍卫企业环境免受内部与外部威胁方面亦非常重要,例如阻止数据泄露尝试。不过,用户在思想意识层面不应先入为主地认定网络级安全设备不存在安全漏洞。事实上,安全研究人员在过去几年中已经发现相当一部分此类产品存在漏洞,其中一部分甚至在不受监管的地下市场中进行公开出售。