安天实验室安全研究与应急处理中心(以下简称:安天CERT)于9月25日凌晨开始响应“破壳”漏洞,针对该漏洞的背景、原理等进行了快速地分析,摸索完善了验证方法和网络检测方法。并于9月25日10时发布了《“破壳”漏洞(CVE-2014-6271)综合分析》(对应网址:http://www.antiy.com/response/CVE-2014-6271.html),并更新了多个版本。在这个过程中安天监测采集和样本交换体系发现了大量利用该漏洞的扫描攻击、后门投放等行为,并发现了多个与此漏洞相关的恶意代码。
基于漏洞的特点,安天利用与高校联合部署的“探云“体系等进行了流量监测。
安天实验室在《“破壳”漏洞(CVE-2014-6271)综合分析》(《破壳》三部曲之一)报告中指出“破壳”漏洞“易于利用其编写蠕虫进行自动化传播,同时也将导致僵尸网络的发展”。几年来,尽管我们捕获的蠕虫样本数量还在持续增长,但其中真正有重大影响力的蠕虫确实并不多见。但今天,我们看到了“蠕虫”这个熟悉而陌生的老对手,借助“破壳”漏洞借尸还魂。如果说技术的发展是一个上升的螺旋,在某一时刻会表现出“高阶重复”的话,那么威胁的演进何尝不是如此呢?
反病毒工作者和反病毒产品为消亡蠕虫进行了很多尝试,但蠕虫大面积减少的更大原因还是其生态的变化。Windows系统控制Outlook的外部调用,沉重打击了邮件蠕虫的传播;DEP、ASLR、UAC等机制的引入,大大降低了扫描溢出型蠕虫传播的效果;对自动播放的控制,又降低了U盘传播。而从另一个角度看,随着漏洞私密化、攻击定向化的趋势,有编写蠕虫价值的漏洞,都被攻击者深藏武库,谨慎使用。而同时,一些僵尸网络的控制者,也逐渐把利用蠕虫的方式扩展规模,改为捆绑和FAKEAV等其他方式。
《走出蠕虫地带》是安天技术负责人在去年XDEF峰会上的同名报告,也是安天AVER反思三部曲的第二部。报告反思了我们现有的大量从感知到分析的技术体系,都是在蠕虫时代发端建立起来的,其假定威胁的核心特点是攻击载荷不断重复投放、传播路径是从若干源头的树状展开、被感染的节点会大量分布。显然这种机制在APT的应对中变得薄弱和力不从心。而同时我们也看到更多用户也是在大规模蠕虫泛滥时,逐渐建立起安全观念的,往往只有网络大量阻塞时,人们才感到网络威胁的价值。而此间,那些更高级、隐蔽可以带来战略影响的攻击与窃密则可能被忽略了。
这次也是如此,连我们自己都是在相关BOT和蠕虫出现后,兴奋度异常提高。但我们要慎重看待这种“高阶重复”。如果说一切安全威胁都存在着必然性,有其规律和动力的话。我们只能说,当漏洞掌握在少数攻击者手中时,可能其表象会是发生在定向攻击乃至APT攻击当中,以提高成功率和降低感知。但当严重漏洞一旦公开,其不再具有任何隐蔽性可言,而大量用户启动修补流程,可攻击节点不断减少的时候。就会有更多的攻击者开始了利益最大化的数据或者节点的攫取,此时“列王的纷争”就会变成“群鸦的盛宴”。
同时,站在一个更熟悉Windows的安全团队视角看Linux/MacOS,无疑会有很多茫然,重新编译带来诸多的不变,大量版本带来的碎片化,又给修补带来了很多不确定性。而自带的编译器和丰富的脚本则既是程序员的舞台,也是攻击者的土壤。我们在Windows攻防中,也经常可见BAT和VBS脚本,但通常都是配角而非恶意代码功能主体。而除非目标是代码污染,把一段C++源码或者工程丢到被攻击者的场景中去编译的行为更非常罕见。而本报告中的gcc源码和perl脚本,则价值完全不同,而这种模式在过去和未来也都并不陌生。这个方式既符合场景特点,同时也是一个轻量级的“免杀”。而未来Linux/MacOS将是重要的攻防战场,尽管相关恶意代码的加壳、混淆工具和Windows下大量的地下壳、商用壳相比还那样简单幼稚,但一切早已经开始了。