我的位置 威胁预警  >  恶意代码公告

软件漏洞披露新问题,恶意软件的漏洞如何披露?

来源:网空闲话 时间:2021-06-30 阅读次数:
Malvuln已经对恶意软件中发现的数百个漏洞进行了编目,尽管该项目尚未被证明对任何人都有用,但它的开发者并不会因此气馁。
Malvuln是安全研究员John Page(又名hyp3rlinx)的一个有趣项目,它对恶意软件中发现的漏洞进行了分类,并提供了如何利用这些漏洞的信息。Malvuln.com 于2021年 1 月 2 日推出,为恶意软件中的安全漏洞提供利用代码,其方式与 VulDB 和 WhiteSource 等类似站点为正常应用程序和开源组件所做的相同。

自从2021年1月初启动该项目以来,John Page已经在大约105个恶意软件家族中发现了260多个漏洞,包括木马、蠕虫、后门、dropppers和勒索软件。平均每个恶意软件存在2.5个漏洞。
这些漏洞包括与内存损坏、不安全的权限、硬编码凭据、身份验证绕过、目录遍历和信息泄露有关的问题。一些缺陷可以被DoS攻击所利用(即导致恶意软件崩溃),而另一些则允许未经身份验证的“攻击者”远程执行任意命令——在已经感染的系统上执行操作系统命令或由恶意软件提供的命令。
当被问及的漏洞中是否有突出的漏洞时,这位研究人员指出了未经验证的远程命令执行漏洞,他称其为“轻松取胜”。
2021年年初启动这个项目时,John Page告诉《安全周刊》,在某一点上,Malvuln的信息可能对某些人有用——例如,如果漏洞是远程的,案例事件响应小组可以在不接触失陷机器的情况下禁用恶意软件。然而,到目前为止,Malvuln似乎对网络安全社区的任何人都没有用处。另一方面,研究人员说,他进行这个项目是为了自己,为了好玩。
当Malvuln被公布时,一些业内人士表示担心这些信息会对不良行为者有用,比如直接对恶意软件开发者的价值,他们可能修正恶意软件的问题,从而并可能阻碍对恶意活动进行的研究。
“有些人可能不把这个项目当回事,或者认为这是在浪费时间,但我不在乎,也不期待任何东西。如果有什么结果,好吧,如果没有,我不在乎,”John Page在周末通过电子邮件告诉《安全周刊》。
到目前为止,所有的漏洞都是John Page自己发现的。在过去,他曾暗示他可以接受第三方捐款,但现在他说他不想“与任何人交易”。
这位研究人员说,他没有在这个项目上投入很多时间。“我没想去追踪,但投入的时间非常少——在业余时间做,基本上是为了好玩。”
传统的漏洞存储库会在应用程序用户的系统易受攻击时发出警报,并提供有关修补或缓解它们的说明——尽管网络骗子也能从中受益,存在着围绕是否公开披露的争议性辩论。Malvuln项目颠覆了这种态势。到底是助纣为虐,还是除暴安良?
2019 年,安全研究员 Ankit Anubhav 展示了这种资源可能在野外产生的影响,记录了 Mirai 恶意软件中的一个“微不足道的错误”是如何被“脚本小子和竞争对手的威胁参与者”用来“使彼此的 C2 崩溃”的。一位威胁行为者告诉他,“如果编写一个脚本来检查 C2 何时启动并使其持续崩溃,它将使所有基于 Mirai 的僵尸网络几乎毫无用处”。
同样在Malvuln项目启动时,就是安全专家预言了将来可能的应用场景:
德意志银行的恶意软件专家 Kyle Cucci 在 Twitter 上回应 Malvuln.com 的发布时表示,他“可以看到它在 IR 场景中(非常巧妙地)使用”和“威胁行为者互相踢对方感染主人。”这造成了恶意软件之间的PK,互相利用漏洞来清除或遏制对方。
独立安全研究人员‘Eduardo B’在推特上写道:“想象一下一个具有rootkit功能的持久性恶意软件,你可以简单地对其进行漏洞利用以使其崩溃和/或禁用……或者可靠地追溯到它的真正来源。”
John Page说,他对这个项目有一些新的想法,但他现在不想分享。

John Pag在其网站Malvuln.com上这样介绍,这是第一个专门研究恶意软件本身安全漏洞的网站。有许多网站已经提供了有关恶意软件的信息,如哈希,IOC,逆向等。然而,没有人致力于研究和分析恶意软件样本中的漏洞…直到现在。MALVULN万岁。我做我自己的事…

参考资源:
1、https://www.securityweek.com/malvuln-project-catalogues-260-vulnerabilities-found-malware
2、https://www.securityweek.com/malvuln-project-catalogues-vulnerabilities-found-malware
 
 

原文来源:网空闲话

8条评论