“破殼”漏洞系列分析之二
責編:admin |2014-10-23 15:04:06安天實驗室安全研究與應急處理中心(以下簡稱:安天CERT)于9月25日凌晨開始響應“破殼”漏洞,針對該漏洞的背景、原理等進行了快速地分析,摸索完善了驗證方法和網絡檢測方法。并于9月25日10時發布了《“破殼”漏洞(CVE-2014-6271)綜合分析》(對應網址:http://www.antiy.com/response/CVE-2014-6271.html),并更新了多個版本。在這個過程中安天監測采集和樣本交換體系發現了大量利用該漏洞的掃描攻擊、后門投放等行為,并發現了多個與此漏洞相關的惡意代碼。
基于漏洞的特點,安天利用與高校聯合部署的“探云“體系等進行了流量監測。
安天實驗室在《“破殼”漏洞(CVE-2014-6271)綜合分析》(《破殼》三部曲之一)報告中指出“破殼”漏洞“易于利用其編寫蠕蟲進行自動化傳播,同時也將導致僵尸網絡的發展”。幾年來,盡管我們捕獲的蠕蟲樣本數量還在持續增長,但其中真正有重大影響力的蠕蟲確實并不多見。但今天,我們看到了“蠕蟲”這個熟悉而陌生的老對手,借助“破殼”漏洞借尸還魂。如果說技術的發展是一個上升的螺旋,在某一時刻會表現出“高階重復”的話,那么威脅的演進何嘗不是如此呢?
反病毒工作者和反病毒產品為消亡蠕蟲進行了很多嘗試,但蠕蟲大面積減少的更大原因還是其生態的變化。Windows系統控制Outlook的外部調用,沉重打擊了郵件蠕蟲的傳播;DEP、ASLR、UAC等機制的引入,大大降低了掃描溢出型蠕蟲傳播的效果;對自動播放的控制,又降低了U盤傳播。而從另一個角度看,隨著漏洞私密化、攻擊定向化的趨勢,有編寫蠕蟲價值的漏洞,都被攻擊者深藏武庫,謹慎使用。而同時,一些僵尸網絡的控制者,也逐漸把利用蠕蟲的方式擴展規模,改為捆綁和FAKEAV等其他方式。
《走出蠕蟲地帶》是安天技術負責人在去年XDEF峰會上的同名報告,也是安天AVER反思三部曲的第二部。報告反思了我們現有的大量從感知到分析的技術體系,都是在蠕蟲時代發端建立起來的,其假定威脅的核心特點是攻擊載荷不斷重復投放、傳播路徑是從若干源頭的樹狀展開、被感染的節點會大量分布。顯然這種機制在APT的應對中變得薄弱和力不從心。而同時我們也看到更多用戶也是在大規模蠕蟲泛濫時,逐漸建立起安全觀念的,往往只有網絡大量阻塞時,人們才感到網絡威脅的價值。而此間,那些更高級、隱蔽可以帶來戰略影響的攻擊與竊密則可能被忽略了。
這次也是如此,連我們自己都是在相關BOT和蠕蟲出現后,興奮度異常提高。但我們要慎重看待這種“高階重復”。如果說一切安全威脅都存在著必然性,有其規律和動力的話。我們只能說,當漏洞掌握在少數攻擊者手中時,可能其表象會是發生在定向攻擊乃至APT攻擊當中,以提高成功率和降低感知。但當嚴重漏洞一旦公開,其不再具有任何隱蔽性可言,而大量用戶啟動修補流程,可攻擊節點不斷減少的時候。就會有更多的攻擊者開始了利益最大化的數據或者節點的攫取,此時“列王的紛爭”就會變成“群鴉的盛宴”。
同時,站在一個更熟悉Windows的安全團隊視角看Linux/MacOS,無疑會有很多茫然,重新編譯帶來諸多的不變,大量版本帶來的碎片化,又給修補帶來了很多不確定性。而自帶的編譯器和豐富的腳本則既是程序員的舞臺,也是攻擊者的土壤。我們在Windows攻防中,也經常可見BAT和VBS腳本,但通常都是配角而非惡意代碼功能主體。而除非目標是代碼污染,把一段C++源碼或者工程丟到被攻擊者的場景中去編譯的行為更非常罕見。而本報告中的gcc源碼和perl腳本,則價值完全不同,而這種模式在過去和未來也都并不陌生。這個方式既符合場景特點,同時也是一個輕量級的“免殺”。而未來Linux/MacOS將是重要的攻防戰場,盡管相關惡意代碼的加殼、混淆工具和Windows下大量的地下殼、商用殼相比還那樣簡單幼稚,但一切早已經開始了。