反病毒软件将成安全业界新战场

根据安全研究员Matousec报告:各大知名安全软件供应商目前所推出的产品都将会受到参数交换机攻击的影响;这种攻击可以把一个恶意代码几乎无限制地植入任何基于Windows系统的个人电脑和电子设备。

 

这个所谓的参数交换机攻击,Matousec在报告中将他视作一KHOBE(Kernel Hook Bypassing Engine的简称)攻击,对用户模式和内核模式的hooks尤其有效;从本质上讲,就是对由专业人员编写的安全代码进行直接修改。

 

因为大部分安全软件供应商都使用了一项叫做系统服务描述表(SSDT) hooking的技术,这使得Matousec使用的KHOBE测试引擎对于这个漏洞的渗透几乎束手无策;这些公司包括McAfee,赛门铁克,Sophos,熊猫安全和BitDefender(罗马尼亚一家知名安全企业)。

 

“总而言之,如果一个系统使用了SSDT或者其他形式的内核hooks,而又只有一些简陋的安全措施的话,这个系统就很脆弱,”Matousec说的很郑重,“换句话说,所有参与测试的电脑,百分之百都很脆弱。”

 

“之所以我没有将更多的电脑放入我的测试报告仅仅是因为:我没时间了。”他补充道,“因此这份测试报告的重点在于:应该被写进报告中的电脑数量实际上是庞大到你无法想象的。”

 

当然,Matousec的书面报告中还写道:“这种特别的攻击方法也在要求,那些潜在的攻击者需要有能力和机会在系统上执行这组代码。因此,能够利用本地连接进入电脑并且执行参数交换机攻击代码,对于这些人来说缺一不可。”

 

尽管安全供应商们——例如McAfee,赛门铁克和趋势科技——已经竭尽全力,黑客以及危险分子们依旧在享受着来自于入侵消费者和企业的网络的前所未有的成功。

 

Gartner预测,世界范围内的安全软件市场份额,将从去年的145亿美元迅速增长到163亿美元,各安全公司竞相向对那些旨在窃取数据,现金和智力资本的恶意软件运动进军。

 

诺顿网络安全套装2010是 协助Matousec进行测试的36种安全产品之一,Symantec官方宣称他们云安全软件套餐将消除任何在这种类型的攻击中泄露数据的可能。 “Matousec的报告中指出的恶意攻击,在赛门铁克托管服务启发式检测系统中是被设置为立即解除的类型。而且,自从我们的反病毒系统不再使用桌面小杀毒文件转接hooks的模式来运行,我们的服务器也不太可能被攻击。” Martin Lee,一位在赛门铁克的托管服务集团的高级软件工程师,这样告诉InternetNews.com.

 

 “这种类型的攻击要求攻击者具有在目标电脑上运行任意(随机)代码的能力,这意味着,机器本身的安全机制已经失效(绕过其中原本的安全机制,检测恶意软件),或者说,攻击者已经得到了这台电脑的物理地址;”他补充道,“而SaaS的客户面对此类攻击时是完全安全的。”

 

然而现在的情况是,绝大部分的企业仍然依赖于使用备急安全软件设备去保护他们的台式机和笔记本;而且在此次测试中,有一点很明显,使用Windows系统的用户,需要再多担心一些事情了。

 

“我们测试了现在所有流行使用的安全应用方案,然后发现他们全部都很脆弱;所有知名的安全解决方案,都非常轻易地被弄到瘫痪。”Matousec最后很严肃的作了总结。

 

原文名称:Security Firm Finds Gaps in Popular AV Software