企業(yè)的重大憂患:KHOBE攻擊?
一種新的黑客技術(shù)可以避開(kāi)多重安全保護(hù),但它尚未成為企業(yè)的主要威脅。稱為內(nèi)核掛接繞過(guò)引擎(kernel hook bypassing engine,KHOBE)的攻擊技術(shù)利用Windows XP主要組成部分中存在的漏洞,使攻擊者可以關(guān)閉安全軟件,由此使惡意軟件不容易被檢測(cè)。
研究人員在Matousec.com上公布KHOBE技術(shù)并發(fā)表聲明,他們的proof-of-concept程序證實(shí)了防病毒軟件以及其他檢測(cè)和根除惡意軟件的安全保護(hù)措施的不足之處。該技術(shù)利用內(nèi)核驅(qū)動(dòng)程序掛接微軟的Windows XP,這種攻擊可以攔截和改變系統(tǒng)組件之間的通信方式以及底層殺毒軟件,導(dǎo)致安全保護(hù)措施完全不起作用。
“這種攻擊會(huì)帶來(lái)嚴(yán)重的威脅,因?yàn)樵S多安全軟件的安全功能都以掛接(hooking)為基礎(chǔ),”研究小組說(shuō),“我們測(cè)試了使用最廣泛的安全應(yīng)用程序,發(fā)現(xiàn)它們都很容易受攻擊。當(dāng)今最流行的安全解決方案對(duì)此根本無(wú)能為力。”
安全專家表示,但是這次攻擊幾乎沒(méi)有造成什么嚴(yán)重的威脅,因?yàn)閻阂廛浖谠噲D攻擊之前需要繞過(guò)安全軟件。反病毒廠商F–Secure的首席研究官M(fèi)ikko Hyppönen表示,這種攻擊類似于一個(gè)小偷企圖從內(nèi)部闖入一個(gè)房間。
Hyppönen說(shuō),大約在90年代中期,人們就已經(jīng)知道了在內(nèi)核中改變掛接的功能,不過(guò)這并沒(méi)有演變成一個(gè)嚴(yán)重的問(wèn)題。但是,他并沒(méi)有停止對(duì)KHOBE的研究,他表示惡意軟件中任何試圖繞過(guò)多種安全軟件的代碼片段才是真正的潛在威脅,但這實(shí)現(xiàn)起來(lái)的可能性并不大。
“自從該研究公布之后,我們就一直在監(jiān)視利用這個(gè)機(jī)制對(duì)現(xiàn)實(shí)世界的攻擊,但我們沒(méi)有發(fā)現(xiàn)任何一個(gè)案例”,Hyppönen說(shuō),“這一現(xiàn)象很有意思,因?yàn)閻阂廛浖呀?jīng)被安裝在機(jī)器上了,它現(xiàn)在也可以避開(kāi)安全產(chǎn)品的核心,甚至可以卸載殺毒軟件或者做其他許多令人討厭的事情。”
一名IT安全顧問(wèn)表示,所有可能的攻擊者都會(huì)選擇更簡(jiǎn)單的方式去繞過(guò)反病毒軟件和其他安全防護(hù)。這位IT安全顧問(wèn)目前正負(fù)責(zé)一個(gè)項(xiàng)目,旨在在公司的數(shù)據(jù)中心縮減時(shí)保證其安全防護(hù)性能仍能正常運(yùn)行。這位安全專業(yè)人員表示,企業(yè)除了應(yīng)該對(duì)由雇員過(guò)失造成的潛在數(shù)據(jù)泄漏保持警覺(jué)外,還應(yīng)著重于標(biāo)準(zhǔn)深度防御措施的執(zhí)行。
“如果我擔(dān)心每一個(gè)潛在的威脅,那么我會(huì)失眠的”,他說(shuō),“我們必須確保已經(jīng)采取了正確的基礎(chǔ)做法,然后再去應(yīng)對(duì)其他可能遭到攻擊的領(lǐng)域。”
Sophos公司的高級(jí)技術(shù)顧問(wèn)Graham Cluley表示,如果企業(yè)使用的安全程序是盜版的,那么這些威脅將會(huì)帶來(lái)更大的風(fēng)險(xiǎn),因?yàn)楸I版軟件對(duì)位于端點(diǎn)的移動(dòng)裝置、路過(guò)式攻擊(drive-by attacks)以及社會(huì)網(wǎng)絡(luò)信息泄漏缺乏控制。Cluley表示,企業(yè)應(yīng)著重于端點(diǎn)軟件的不斷更新,確保安全軟件具備最新的性能更新,并保證安全措施能夠得以實(shí)施。
“企業(yè)需要更多完美的反病毒軟件,并且大多數(shù)企業(yè)已經(jīng)意識(shí)到只有一層防御措施是根本不夠的”,Cluley說(shuō),“雖然天并沒(méi)有塌下來(lái),但這并不意味著我們可以放松警惕。”
【編輯推薦】
