虽然有大量杀毒软件来保护计算机及应用程序安全,但这并不意味着网络攻击者没有作案的机会,他们通过一些手段绕过杀毒软件的防御,并有可能利用代码漏洞实施远程恶意操控。
网络安全研究人员披露了流行软件应用程序的重大安全漏洞,这些系统漏洞可能会被利用,并使杀毒软件失去防御效果。研究人员称,他们通过绕过杀毒软件提供加密文件的受保护文件夹功能(即“Cut-and-Mouse”),并模拟鼠标“点击”事件(即“Ghost Control”)绕过杀毒软件实时防护功能,来攻击受保护的加密文件夹。
虽然杀毒软件的防御水平在逐步提高,但网络犯罪分子却拥有更多的资源和不断检测系统漏洞的意志。这也就意味着,即便有杀毒软件的存在,系统安全依旧会受到未经授权代码漏洞的影响,同时杀毒软件系统中的漏洞也可能被犯罪分子利用。比如勒索软件通过已配置的应用程序对文件夹改写访问权限,并加密用户数据或实施数据擦除来破坏文件。
受保护的数据应该通过额外的附加保护措施以抵御网络攻击,从而有效阻止来自外界的任何不安全访问。同时,在系统中引入代码时加强代码安全检测可以有效降低安全风险。
少数被列入白名单的应用程序被授予写入受保护文件夹的特权,但这部分应用程序并不能避免受到犯罪分子攻击,从而导致数据泄露或被加密。
在某些场景下,恶意代码可以控制记事本等受信任的应用程序,来执行写入操作并加密存储在受保护的文件夹中,同时将它们复制到剪切板,随后勒索软件启动记事本,用剪切板的内容覆盖文件夹内容。更严重的是,通过利用Paint作为可信的应用程序,上述攻击序列可以用以随机生成图像来覆盖用户文件,从而永久摧毁文件。
另一方面,Ghost Control攻击本身可能会带来严重后果,因为在拥有杀毒软件的机器上通过受信任的程序执行合法操作,可以关闭杀毒软件程序,同时通过远程操控在受害机器上执行任何流氓程序。
研究发现,目前在29种防病毒软件中,14种容易受到Ghost Control攻击,而测试的所有29种防病毒软件都受到Cut-and-Mouse攻击的威胁。这次研究表明,防病毒软件并不是万能的,因为软件本身就可能存在缺陷。因此在不断加强杀毒软件本身防御功能的同时,也要时刻警惕代码缺陷及系统漏洞带来的网络攻击。
网络安全防御本身就是一个组合模式,在单独考虑某一部分时,集成到系统中的安全组件可能也为网络攻击提供了更宽泛的攻击面。因此从静态代码安全到应用系统上线部署,在整个流程都应该做好安全检测及防御,通过不同组件之间相互作用,创建一个更加完善的防御网。