一位安全研究人员本月推出了一个门户网站,列出了常见恶意软件代码中的漏洞。研究人员希望其他安全专业人员能够使用这些漏洞来崩溃、禁用和卸载受感染主机上的恶意软件,作为事件响应操作的一部分。
由漏洞猎手约翰•佩奇创建和启动,新的MalVuln门户网站位于https://www.malvuln.com/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>malvuln.com网站
站点本身就是典型的漏洞披露门户。它列出了软件的名称(在本例中是恶意软件的名称),在技术细节上描述了漏洞,并提供了概念验证(PoC)攻击代码,以便其他人可以重现该问题。
佩奇告诉ZDNet,他在最近的COVID-19锁定期间出于无聊创建了该网站。
“这是不正常的,“从来没有一个专门的网站专门为这类事情,”研究人员在一次电子邮件采访中告诉ZDNet。
目前,MalVuln列出了45个安全漏洞。有些是针对当前的威胁,如Phorpiex(Trik),但也针对旧的恶意软件,如Bayrob。
佩奇说,目前在MalVuln上列出的所有漏洞都是他发现的。
佩奇说:“没有外部提交的,我目前不接受。”。但是,网站上列出了一个PGP密钥,计划允许其他人在将来某个时候提交他们的发现。
就像恶意软件有时利用合法应用程序中的漏洞渗透系统一样,安全公司还利用恶意软件代码中的漏洞渗透到攻击者的基础设施中。
安全公司通常会入侵恶意软件的命令和控制服务器以检索有关受害者的数据,或者利用恶意软件中的漏洞将其禁用并从受感染的系统中删除。
这种做法一直是一个受到严密保护的秘密,主要是由于“黑客回击”实践带来的法律后果,以及秘密滥用恶意软件漏洞追踪威胁行为人带来的好处。
例如,多年来,安全公司Fox IT利用网络犯罪团伙滥用的合法工具Cobalt Strike中的漏洞追踪可能的恶意软件命令的位置和控制服务器。该公司披露,它是在漏洞被发现后才这么做的https://www.zdnet.com/article/vulnerability-exposes-location-of-数千-malware-c-c-servers/“target=”\u blank“>报告并于2019年修复
难怪当像MalVuln这样的网站在本月初推出时,有不少人抱怨MalVuln如何泄露这些严密保密的秘密,并通过指出代码中的漏洞间接帮助恶意软件运营商,从而有效地从安全公司和事件响应者手中夺走有价值的工具。
但佩奇告诉ZDNet,他并不关心这方面。
“我做我自己的事我没有回应。这些人通常都认为漏洞不应该公开,因为它有助于攻击者,”他说。
而佩奇并不是唯一一个认同这一观点的人,其他安全研究人员要求对这一做法更加公开,并在网络安全界更多地分享这类细节。
无论哪种方式,这个话题仍将引起争议,但MalVuln触及了一个真正的问题——恶意软件也包含与普通软件一样糟糕的漏洞。
“有很多自怨自艾的恶意软件,”佩奇说,有望在未来释放更多恶意软件漏洞。
