關(guān)于漏洞和安全軟件之間相輔相成的關(guān)系

ice 加密技術(shù) 2016 年 2 月 26 日

近日一些常用的軟件及網(wǎng)站或者電腦中病毒的事件，引發(fā)了很多人的注意，原本認(rèn)為“只要不瀏覽不健康的網(wǎng)站”就不會中招的人現(xiàn)在也開始猶豫是否安裝安全軟件了……

I. 由CVE-2014-6332引發(fā)的血案

去年年底，360安全中心監(jiān)控發(fā)現(xiàn)，原本已經(jīng)平靜一段時間的網(wǎng)頁掛馬數(shù)量驟增，相關(guān)的惡意軟件傳播量也開始暴增，大量由漏洞引發(fā)的木馬攻擊案例不斷出現(xiàn)。360網(wǎng)頁防護(hù)也在快速更新，動態(tài)攔截了大批掛馬攻擊，并攔截了大量掛馬網(wǎng)站的訪問。

后經(jīng)分析，發(fā)現(xiàn)大量出現(xiàn)的掛馬攻擊主要來自漏洞——CVE-2014-6332.由于這一漏洞影響范圍廣泛，并且在微軟xp停服之后被公布，在xp下沒有對應(yīng)的官方補(bǔ)丁，造成漏洞被廣泛利用。

網(wǎng)上公開的利用代碼節(jié)選:

已經(jīng)被用于傳播木馬的頁面代碼節(jié)選:

攻擊者利用網(wǎng)上公開的測試代碼，修改成木馬傳播代碼。通過黑站，廣告鏈等方式大規(guī)模傳播，造成了木馬大范圍傳播。

II.6332再臨

而就在各大瀏覽器紛紛修補(bǔ)漏洞，做好安全防護(hù)之后，這個漏洞利用代碼卻又被悄悄的移植到了程序內(nèi)置的廣告頁中。因?yàn)榇罅坎シ牌鲀?nèi)嵌了IE的瀏覽器內(nèi)核進(jìn)行廣告展示而遭到該漏洞影響，繼而引發(fā)了新的一波漏洞攻擊事件。也造成了巨大影響，下面是之前播放器掛馬的yesimck攻擊攔截量：

III. 0day與Nday

0day(零日)漏洞，是廠商未發(fā)布修復(fù)補(bǔ)丁的漏洞。而Nday則是廠商已經(jīng)發(fā)布補(bǔ)丁的漏洞，因?yàn)闀r間、習(xí)慣、安全意識等原因還有很多人沒有打補(bǔ)丁。

這也就潛藏著一種危險：作為安全研究者或愛好者，如果手里掌握了0day漏洞的利用代碼，絕大多數(shù)人還是有自覺性不去公開這個利用代碼的（無論是白帽子出于行業(yè)自律還是黑帽子們出于商業(yè)利益考慮）。那么這個漏洞對于大眾的安全危害也是有限的。

但Nday則完全不同，漏洞被修補(bǔ)后，很多會被公開或者分析出來，網(wǎng)上能找到公開的漏洞利用代碼或利用方法……一旦修補(bǔ)不及時，這時的漏洞利用代碼雖然不再像0day時那樣是見血封喉的秘密武器，卻變成了大規(guī)模殺傷性武器。

而上面的CVE-2014-6332漏洞就是典型的Nday漏洞利用導(dǎo)致的大規(guī)模木馬爆發(fā)問題。

IV.flash掛馬死灰復(fù)燃

6332爆發(fā)后不久,我們將客戶端軟件加入了6332漏洞攔截的范圍,攻擊者開始嘗試使用幾個flash漏洞進(jìn)行掛馬,影響了國內(nèi)數(shù)款播放器和系統(tǒng)恢復(fù)軟件,因?yàn)檫@些漏洞都得到了有效的攔截,所以這波掛馬攻擊很快就被打壓下去。

V. CVE-2015-5122再起波瀾

就在CVE-2014-6332漏洞風(fēng)波折騰了一年尚未平息，CVE-2015-5122漏洞的利用代碼再次因Hacking Team被攻破而被公開。

很快網(wǎng)上有了漏洞利用教程（節(jié)選）:

而隨著漏洞利用代碼和方法的公開，我們也監(jiān)控到了大量利用該漏洞傳播惡意軟件的網(wǎng)站。

360對此類掛馬站點(diǎn)的攔截:

60網(wǎng)盾對漏洞攻擊的攔截：

同時也捕捉到了大量利用該漏洞利用代碼的樣本——利用代碼與網(wǎng)上公布的代碼極其相似，甚至連混淆方式都一模一樣：

在Adobe發(fā)布官方修補(bǔ)補(bǔ)丁之后，該漏洞仍然在不斷被利用。10月中旬，該漏洞隨著一個廣告聯(lián)盟推廣了幾個帶漏洞利用的廣告，開始再次大規(guī)模爆發(fā)。

CVE-2015-5122漏洞掛馬頁面：

近期一周對該漏洞的攔截量分布：

通過對掛馬站點(diǎn)與聯(lián)盟的攔截，迫使聯(lián)盟下線了帶漏洞攻擊的flash廣告，木馬傳播量開始大幅下降。

VI. 談?wù)勓a(bǔ)丁與安全軟件的重要性

從去年的CVE-2014-6332到今年的CVE-2015-5122。不同原因，不同產(chǎn)品，但卻有著類似結(jié)果的兩次Nday漏洞利用攻擊事件，通過網(wǎng)上公開的漏洞利用代碼，攻擊者可以低成本的擁有“重武器”，一下子將“軟件漏洞”這個詞拉到了一個與我們?nèi)粘＞W(wǎng)絡(luò)生活息息相關(guān)的位置。

一些“電腦城商家”會出于自身商業(yè)利益驅(qū)使（有些僅僅是怕麻煩），給廣大小白用戶灌輸一些歪曲的理論——“打補(bǔ)丁沒用，會拖慢系統(tǒng)”、“殺毒軟件無用，會卡系統(tǒng)？”。甚至我們身邊的一些“電腦高手”也會說一句“你看我不裝殺軟裸奔，幾年都沒中過毒”、“只要平時養(yǎng)成良好的上網(wǎng)習(xí)慣，不上亂七八糟的網(wǎng)站，就不會中毒?！薄@一句句的“金玉良言”猶在耳畔，令人唏噓……

補(bǔ)丁的作用，是從源頭根本上消滅之前版本程序中存在的問題，將存在的軟件漏洞去掉。良好的上網(wǎng)習(xí)慣固然很重要，但第三方廣告、網(wǎng)絡(luò)劫持、ARP攻擊等風(fēng)險的存在，導(dǎo)致即使網(wǎng)站/軟件自身不作惡，也難保用戶在瀏覽網(wǎng)頁，使用軟件時的安全。尤其是在網(wǎng)絡(luò)劫持的情況下，即使用戶不打開任何網(wǎng)站，只要開著電腦連著網(wǎng)就有可能中招。

即便你能夠及時的更新軟件安裝補(bǔ)丁，還是有無處不在的惡意軟件惡意代碼在時刻虎視眈眈。一款靠譜的安全軟件，做為計算機(jī)的保護(hù)者，能夠幫你抵御絕大部分情況下的木馬漏洞攻擊，阻止惡意軟件蔓延。面向大眾的木馬，目的是獲利而不是秀存在。須知沒中過毒和不知道自己中毒，從來不是一個概念！

聲明：本站所有文章，如無特殊說明或標(biāo)注，均為本站原創(chuàng)發(fā)布。任何個人或組織，在未征得本站同意時，禁止復(fù)制、盜用、采集、發(fā)布本站內(nèi)容到任何網(wǎng)站、書籍等各類媒體平臺。如若本站內(nèi)容侵犯了原著者的合法權(quán)益，可聯(lián)系我們進(jìn)行處理。