安全工具遭惡意利用

網絡安全團隊近期發現，威脅攻擊者正通過盜版Shellter Elite反病毒規避軟件傳播惡意程序。使用該商業軟件檢測漏洞的企業安全官（CISO）需立即升級至最新版本。這款由Shellter Project開發的工具主要用于紅隊測試，其11.0版本于4月16日發布，但Elastic安全實驗室在4月底就監測到多起利用該軟件打包信息竊取程序的攻擊活動。

Elastic在7月2日的博客中披露，攻擊者使用疑似遭篡改的Shellter Elite版本繞過企業IT防御。作為回應，Shellter Project在7月4日承認確有客戶泄露軟件副本，但指責Elastic"魯莽且不專業"——盡管Elastic提供了幫助追蹤泄露源的樣本，卻拖延數月才告知漏洞情況。

雙方各執一詞

Shellter在官方博客中控訴："Elastic安全實驗室優先考慮 publicity（公眾宣傳）而非 public safety（公共安全）。若非我們因私人原因推遲新版本發布，涉事客戶本可能獲得具備更強規避能力的新版軟件，甚至能繞過Elastic自身的檢測機制。"該軟件具備運行時規避功能，可幫助紅隊隱藏指令控制信標，這些能力對攻擊者極具價值。

Elastic則向CSO表示，他們在6月18日發現可疑活動后兩周內就發布了研究報告，整個過程符合"透明化、負責任披露和防御者優先"原則。該公司強調："行業標準要求我們盡快向安全社區通報研究成果，這有助于防御者應對包括安全控制繞過技術在內的新興威脅。"

攻防立場的本質沖突

加拿大事件響應公司Digital Defence負責人Robert Beggs指出，這實質是攻防兩端視角的碰撞："Elastic的使命就是檢測Shellter這類工具。發現能檢測專業規避工具的能力，對其產品價值是絕佳證明。"他認為不存在所謂的"道德義務"，就像微軟不會指望別人來告知其防御工具的缺陷。

Beggs直言："Shellter試圖用'負責任披露'這個攻防產品供應商間根本不存在的概念制造道德綁架。將此事曲解為倫理違規是極端且拙劣的解讀。"他舉例道，若某產品能繞過Microsoft Defender（微軟防御器），是否必須立即通知微軟？顯然微軟始終自行承擔著改進工具的責任。

漏洞披露的行業準則

雖然漏洞披露尚無硬性規定，但OWASP（開放網絡應用安全項目）建議：

• 研究人員應確保測試合法合規，通過安全渠道提交漏洞，并提供足夠驗證細節
• 企業需建立清晰的漏洞報送機制，在合理時間內響應，避免訴諸法律威脅

OWASP更傾向漏洞先私下報告開發者，是否公開細節應由廠商決定。除非廠商對已報告漏洞置之不理，公開披露才可作為施壓手段。當前爭議凸顯網絡安全領域仍需完善協調機制，平衡攻防雙方的利益訴求。