《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 软件漏洞披露新问题,恶意软件的漏洞如何披露?

软件漏洞披露新问题,恶意软件的漏洞如何披露?

2021-06-30
来源:网空闲话
关键词: 软件漏洞 恶意软件

  Malvuln已经对恶意软件中发现的数百个漏洞进行了编目,尽管该项目尚未被证明对任何人都有用,但它的开发者并不会因此气馁。

  Malvuln是安全研究员John Page(又名hyp3rlinx)的一个有趣项目,它对恶意软件中发现的漏洞进行了分类,并提供了如何利用这些漏洞的信息。Malvuln.com 于2021年 1 月 2 日推出,为恶意软件中的安全漏洞提供利用代码,其方式与 VulDB 和 WhiteSource 等类似站点为正常应用程序和开源组件所做的相同。

微信图片_20210630171049.jpg

  自从2021年1月初启动该项目以来,John Page已经在大约105个恶意软件家族中发现了260多个漏洞,包括木马、蠕虫、后门、dropppers和勒索软件。平均每个恶意软件存在2.5个漏洞。

  这些漏洞包括与内存损坏、不安全的权限、硬编码凭据、身份验证绕过、目录遍历和信息泄露有关的问题。一些缺陷可以被DoS攻击所利用(即导致恶意软件崩溃),而另一些则允许未经身份验证的“攻击者”远程执行任意命令——在已经感染的系统上执行操作系统命令或由恶意软件提供的命令。

  当被问及的漏洞中是否有突出的漏洞时,这位研究人员指出了未经验证的远程命令执行漏洞,他称其为“轻松取胜”。

  2021年年初启动这个项目时,John Page告诉《安全周刊》,在某一点上,Malvuln的信息可能对某些人有用——例如,如果漏洞是远程的,案例事件响应小组可以在不接触失陷机器的情况下禁用恶意软件。然而,到目前为止,Malvuln似乎对网络安全社区的任何人都没有用处。另一方面,研究人员说,他进行这个项目是为了自己,为了好玩。

  当Malvuln被公布时,一些业内人士表示担心这些信息会对不良行为者有用,比如直接对恶意软件开发者的价值,他们可能修正恶意软件的问题,从而并可能阻碍对恶意活动进行的研究。

  “有些人可能不把这个项目当回事,或者认为这是在浪费时间,但我不在乎,也不期待任何东西。如果有什么结果,好吧,如果没有,我不在乎,”John Page在周末通过电子邮件告诉《安全周刊》。

  到目前为止,所有的漏洞都是John Page自己发现的。在过去,他曾暗示他可以接受第三方捐款,但现在他说他不想“与任何人交易”。

  这位研究人员说,他没有在这个项目上投入很多时间。“我没想去追踪,但投入的时间非常少——在业余时间做,基本上是为了好玩。”

  传统的漏洞存储库会在应用程序用户的系统易受攻击时发出警报,并提供有关修补或缓解它们的说明——尽管网络骗子也能从中受益,存在着围绕是否公开披露的争议性辩论。Malvuln项目颠覆了这种态势。到底是助纣为虐,还是除暴安良?

  2019 年,安全研究员 Ankit Anubhav 展示了这种资源可能在野外产生的影响,记录了 Mirai 恶意软件中的一个“微不足道的错误”是如何被“脚本小子和竞争对手的威胁参与者”用来“使彼此的 C2 崩溃”的。一位威胁行为者告诉他,“如果编写一个脚本来检查 C2 何时启动并使其持续崩溃,它将使所有基于 Mirai 的僵尸网络几乎毫无用处”。

  同样在Malvuln项目启动时,就是安全专家预言了将来可能的应用场景:

  德意志银行的恶意软件专家 Kyle Cucci 在 Twitter 上回应 Malvuln.com 的发布时表示,他“可以看到它在 IR 场景中(非常巧妙地)使用”和“威胁行为者互相踢对方感染主人。”这造成了恶意软件之间的PK,互相利用漏洞来清除或遏制对方。

  独立安全研究人员‘Eduardo B’在推特上写道:“想象一下一个具有rootkit功能的持久性恶意软件,你可以简单地对其进行漏洞利用以使其崩溃和/或禁用……或者可靠地追溯到它的真正来源。”




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。