安天實(shí)驗(yàn)室安全研究與應(yīng)急處理中心(以下簡(jiǎn)稱：安天CERT)于9月25日凌晨開(kāi)始響應(yīng)“破殼”漏洞，針對(duì)該漏洞的背景、原理等進(jìn)行了快速地分析，摸索完善了驗(yàn)證方法和網(wǎng)絡(luò)檢測(cè)方法。并于9月25日10時(shí)發(fā)布了《“破殼”漏洞(CVE-2014-6271)綜合分析》(對(duì)應(yīng)網(wǎng)址：http://www.antiy.com/response/CVE-2014-6271.html)，并更新了多個(gè)版本。在這個(gè)過(guò)程中安天監(jiān)測(cè)采集和樣本交換體系發(fā)現(xiàn)了大量利用該漏洞的掃描攻擊、后門投放等行為，并發(fā)現(xiàn)了多個(gè)與此漏洞相關(guān)的惡意代碼。

詳細(xì)報(bào)告請(qǐng)點(diǎn)擊：http://down.51cto.com/data/1887265

基于漏洞的特點(diǎn)，安天利用與高校聯(lián)合部署的“探云“體系等進(jìn)行了流量監(jiān)測(cè)。

安天實(shí)驗(yàn)室在《“破殼”漏洞(CVE-2014-6271)綜合分析》(《破殼》三部曲之一)報(bào)告中指出“破殼”漏洞“易于利用其編寫蠕蟲(chóng)進(jìn)行自動(dòng)化傳播，同時(shí)也將導(dǎo)致僵尸網(wǎng)絡(luò)的發(fā)展”。幾年來(lái)，盡管我們捕獲的蠕蟲(chóng)樣本數(shù)量還在持續(xù)增長(zhǎng)，但其中真正有重大影響力的蠕蟲(chóng)確實(shí)并不多見(jiàn)。但今天，我們看到了“蠕蟲(chóng)”這個(gè)熟悉而陌生的老對(duì)手，借助“破殼”漏洞借尸還魂。如果說(shuō)技術(shù)的發(fā)展是一個(gè)上升的螺旋，在某一時(shí)刻會(huì)表現(xiàn)出“高階重復(fù)”的話，那么威脅的演進(jìn)何嘗不是如此呢?

反病毒工作者和反病毒產(chǎn)品為消亡蠕蟲(chóng)進(jìn)行了很多嘗試，但蠕蟲(chóng)大面積減少的更大原因還是其生態(tài)的變化。Windows系統(tǒng)控制Outlook的外部調(diào)用，沉重打擊了郵件蠕蟲(chóng)的傳播;DEP、ASLR、UAC等機(jī)制的引入，大大降低了掃描溢出型蠕蟲(chóng)傳播的效果;對(duì)自動(dòng)播放的控制，又降低了U盤傳播。而從另一個(gè)角度看，隨著漏洞私密化、攻擊定向化的趨勢(shì)，有編寫蠕蟲(chóng)價(jià)值的漏洞，都被攻擊者深藏武庫(kù)，謹(jǐn)慎使用。而同時(shí)，一些僵尸網(wǎng)絡(luò)的控制者，也逐漸把利用蠕蟲(chóng)的方式擴(kuò)展規(guī)模，改為捆綁和FAKEAV等其他方式。

《走出蠕蟲(chóng)地帶》是安天技術(shù)負(fù)責(zé)人在去年XDEF峰會(huì)上的同名報(bào)告，也是安天AVER反思三部曲的第二部。報(bào)告反思了我們現(xiàn)有的大量從感知到分析的技術(shù)體系，都是在蠕蟲(chóng)時(shí)代發(fā)端建立起來(lái)的，其假定威脅的核心特點(diǎn)是攻擊載荷不斷重復(fù)投放、傳播路徑是從若干源頭的樹(shù)狀展開(kāi)、被感染的節(jié)點(diǎn)會(huì)大量分布。顯然這種機(jī)制在APT的應(yīng)對(duì)中變得薄弱和力不從心。而同時(shí)我們也看到更多用戶也是在大規(guī)模蠕蟲(chóng)泛濫時(shí)，逐漸建立起安全觀念的，往往只有網(wǎng)絡(luò)大量阻塞時(shí)，人們才感到網(wǎng)絡(luò)威脅的價(jià)值。而此間，那些更高級(jí)、隱蔽可以帶來(lái)戰(zhàn)略影響的攻擊與竊密則可能被忽略了。

這次也是如此，連我們自己都是在相關(guān)BOT和蠕蟲(chóng)出現(xiàn)后，興奮度異常提高。但我們要慎重看待這種“高階重復(fù)”。如果說(shuō)一切安全威脅都存在著必然性，有其規(guī)律和動(dòng)力的話。我們只能說(shuō)，當(dāng)漏洞掌握在少數(shù)攻擊者手中時(shí)，可能其表象會(huì)是發(fā)生在定向攻擊乃至APT攻擊當(dāng)中，以提高成功率和降低感知。但當(dāng)嚴(yán)重漏洞一旦公開(kāi)，其不再具有任何隱蔽性可言，而大量用戶啟動(dòng)修補(bǔ)流程，可攻擊節(jié)點(diǎn)不斷減少的時(shí)候。就會(huì)有更多的攻擊者開(kāi)始了利益最大化的數(shù)據(jù)或者節(jié)點(diǎn)的攫取，此時(shí)“列王的紛爭(zhēng)”就會(huì)變成“群鴉的盛宴”。

同時(shí)，站在一個(gè)更熟悉Windows的安全團(tuán)隊(duì)視角看Linux/MacOS，無(wú)疑會(huì)有很多茫然，重新編譯帶來(lái)諸多的不變，大量版本帶來(lái)的碎片化，又給修補(bǔ)帶來(lái)了很多不確定性。而自帶的編譯器和豐富的腳本則既是程序員的舞臺(tái)，也是攻擊者的土壤。我們?cè)赪indows攻防中，也經(jīng)?？梢?jiàn)BAT和VBS腳本，但通常都是配角而非惡意代碼功能主體。而除非目標(biāo)是代碼污染，把一段C++源碼或者工程丟到被攻擊者的場(chǎng)景中去編譯的行為更非常罕見(jiàn)。而本報(bào)告中的gcc源碼和perl腳本，則價(jià)值完全不同，而這種模式在過(guò)去和未來(lái)也都并不陌生。這個(gè)方式既符合場(chǎng)景特點(diǎn)，同時(shí)也是一個(gè)輕量級(jí)的“免殺”。而未來(lái)Linux/MacOS將是重要的攻防戰(zhàn)場(chǎng)，盡管相關(guān)惡意代碼的加殼、混淆工具和Windows下大量的地下殼、商用殼相比還那樣簡(jiǎn)單幼稚，但一切早已經(jīng)開(kāi)始了。

詳細(xì)報(bào)告請(qǐng)點(diǎn)擊：http://down.51cto.com/data/1887265