一种新的黑客技术可以避开多重安全保护,但它尚未成为企业的主要威胁。称为内核挂接绕过引擎(kernel hook bypassing engine,KHOBE)的攻击技术利用Windows XP主要组成部分中存在的漏洞,使攻击者可以关闭安全软件,由此使恶意软件不容易被检测。
研究人员在Matousec.com上公布KHOBE技术并发表声明,他们的proof-of-concept程序证实了防病毒软件以及其他检测和根除恶意软件的安全保护措施的不足之处。该技术利用内核驱动程序挂接微软的Windows XP,这种攻击可以拦截和改变系统组件之间的通信方式以及底层杀毒软件,导致安全保护措施完全不起作用。
“这种攻击会带来严重的威胁,因为许多安全软件的安全功能都以挂接(hooking)为基础,”研究小组说,“我们测试了使用最广泛的安全应用程序,发现它们都很容易受攻击。当今最流行的安全解决方案对此根本无能为力。”
安全专家表示,但是这次攻击几乎没有造成什么严重的威胁,因为恶意软件在试图攻击之前需要绕过安全软件。反病毒厂商F–Secure的首席研究官Mikko Hyppönen表示,这种攻击类似于一个小偷企图从内部闯入一个房间。
Hyppönen说,大约在90年代中期,人们就已经知道了在内核中改变挂接的功能,不过这并没有演变成一个严重的问题。但是,他并没有停止对KHOBE的研究,他表示恶意软件中任何试图绕过多种安全软件的代码片段才是真正的潜在威胁,但这实现起来的可能性并不大。
“自从该研究公布之后,我们就一直在监视利用这个机制对现实世界的攻击,但我们没有发现任何一个案例”,Hyppönen说,“这一现象很有意思,因为恶意软件已经被安装在机器上了,它现在也可以避开安全产品的核心,甚至可以卸载杀毒软件或者做其他许多令人讨厌的事情。”
一名IT安全顾问表示,所有可能的攻击者都会选择更简单的方式去绕过反病毒软件和其他安全防护。这位IT安全顾问目前正负责一个项目,旨在在公司的数据中心缩减时保证其安全防护性能仍能正常运行。这位安全专业人员表示,企业除了应该对由雇员过失造成的潜在数据泄漏保持警觉外,还应着重于标准深度防御措施的执行。
“如果我担心每一个潜在的威胁,那么我会失眠的”,他说,“我们必须确保已经采取了正确的基础做法,然后再去应对其他可能遭到攻击的领域。”
Sophos公司的高级技术顾问Graham Cluley表示,如果企业使用的安全程序是盗版的,那么这些威胁将会带来更大的风险,因为盗版软件对位于端点的移动装置、路过式攻击(drive-by attacks)以及社会网络信息泄漏缺乏控制。Cluley表示,企业应着重于端点软件的不断更新,确保安全软件具备最新的性能更新,并保证安全措施能够得以实施。
“企业需要更多完美的反病毒软件,并且大多数企业已经意识到只有一层防御措施是根本不够的”,Cluley说,“虽然天并没有塌下来,但这并不意味着我们可以放松警惕。”
【编辑推荐】