日前,以色列安全公司Cybellum曝光了一个名为DoubleAgent(双面间谍)的攻击手段,号称可以控制杀毒软件,包括赛门铁克、卡巴斯基、趋势科技等十多款国外知名产品受到影响。不过中国用户可以放心,360安全卫士官方微博表示所谓的“双面间谍”在数年前已有安全研究人员提出过,360杀毒和安全卫士都能够拦截此类攻击。
Cybellum宣称,“双面间谍”利用了微软Windows系统的Application Verifier(应用程序验证器),影响从XP到Win10的所有版本系统。该工具本来是为了帮助开发者在应用程序中找到错误,但黑客可以把标准验证器替换掉,使恶意代码能够以高权限执行,注入到杀毒软件或是其他终端安全产品,相当于劫持“绑架”了杀毒软件。
当黑客的恶意代码劫持杀毒软件后,瞬间就解锁了所有攻击技能,比如修改白名单/黑名单,让木马病毒自由扩散;安装后门程序实现监听监控;或者加密、删除文件、泄露隐私信息;又或者把恶意软件扩散到其他机器上去等等。据验证,“双面间谍”可以攻陷Avast、AVG、Avira、Bitdefender、Comodo、ESET、F-Secure、Kaspersky、McAfee、Panda、Norton、TrendMicro等十余款国外知名杀毒软件。
但是,Google Project Zero成员、著名黑客Tavis Ormandy认为“双面间谍”并不是一个安全漏洞。恶意代码无法通过攻击提升权限,他对于一些杀毒厂商把“双面间谍”确认为漏洞而感到困惑。
刚刚在Pwn2Own世界黑客大赛上获得总冠军的360安全团队技术大牛也表示,严格意义上来说,“双面间谍”式攻击并不能定义为微软的漏洞,它只是恶意代码本身就拥有高权限的情况下对安全产品的一种攻击方法,这种方法几年前就有研究人员曾经提出过,360云安全主动防御早有拦截措施,可以防御“双面间谍”。
一个并不新鲜的“双面间谍”让国外杀毒软件集体沦陷,中国产品却轻松防住,看来我们并不能盲目迷信洋杀软。近年来,在国际性的安全技术峰会和大赛上,中国安全研究人员逐渐成为主角。在2016年,仅360一家中国厂商就获得了来自微软、谷歌等巨头的408次漏洞致谢,超过国外杀毒软件公司报告漏洞数量的总和。