SafeBreach 的安全研究人员已经创建了概念验证 (poc) 恶意软件, 通过利用云增强的反病毒 (AV) 代理, 可以窃取不具有互联网连接的端点的数据。 [出自:jiwo.org]

恶意软件可以利用云病毒防护产品窃取数据

安全研究人员称, 虽然高度安全的企业可能会采用严格的出口过滤, 这意味着终端要么没有直接的互联网连接, 要么只能连接到防护主机上。只要使用了云AV产品, 就可以窃取数据。

在 BlackHat 2017 大会上，来自SafeBreach 实验室的Itzik Kotler和Amit Klein展示了这一PoC工具, 它依赖于在可执行文件打包数据，而主要的恶意软件则在被感染的终端上创建。因此, 如果AV产品使用互联网连接的沙盒作为其云服务的一部分, 那么当AV将新创建文件上传到云中进行检查时, 数据就被窃取了, 即使该文档是在互联网连接的沙盒中执行。

在一份白皮书中（见文末下载）, 研究人员不仅提供了关于AV云沙盒的数据和见解, 而且还涵盖了on-premise沙盒的使用，以及基于云计算/在线扫描和恶意软件分类服务，以及示例共享的使用。此外, 它们还提供了有关如何进一步强化攻击的信息, 以及基于云的AV供应商会如何应对的信息。

研究员在Github上公开了PoC

被称为 Spacebin的PoC工具在 github 上提供。该项目包括服务器端代码和客户端代码的目录。在项目的页面上还可以看到如何使用该工具的说明。

研究员展示利用基于云的防病毒方案 突破企业安全防护边界

kotler和Klein的重点是分析在高度安全的组织中发现的两种网络防病毒体系结构:

• 一种是终端无法访问互联网, 但AV管理服务器可以
• 另一种是机器可以访问一组封闭的防护主机, 意味着对互联网的访问非常有限。

在这两种情况下, 基于云的AV代理都部署在所有终端上。研究员解释。

"我们将利用许多 av 供应商都使用的云AV沙盒功能。此功能的基本原理是, 它使 av 供应商能够提供轻量级代理软件, 并在云中执行繁重的安全分析工作。

具体地说, 在这样的体系结构中, av 代理只需对其他进程和文件进行基本的安全检查, 这样就可以在一个灰色区域中进行 "恶意/非恶意" 决定, 而无法在本地确定。

研究人员解释说, 进入这个灰色区域的进程/文件被发送到云中进行进一步的分析, 并从云中获取安全决策 (有时是接近实时的)。”

样本通常在AV云沙箱中执行, 在那里可以观察到它执行的动作, 但对真正的用户或资源没有害处, 研究人员表示， av 云沙箱通常会连接到互联网, 因为这将提供更好的检测能力 (例如, 恶意软件可能试图连接到C&C服务器，那么沙盒就会检测到这一点)。研究人员解释说。

"攻击过程 (称为火箭) 包含一个辅助可执行文件 (称为卫星) 作为其数据的一部分。卫星可以被加密/压缩以隐藏它是另一个可执行文件的事实, 因此卫星只能是火箭内存空间中的一部分数据（和文件），不会危及火箭。该卫星包含用于窃取的任意数据 ("payload") 的占位符。该占位符的位置应该对火箭已知。"

然后，火箭先收集它需要窃取的数据 (payload), 然后解密/分解卫星，并且将payload嵌入其映像 (可以进一步压缩或加密的payload), 然后把卫星映像作为一个文件写入磁盘, 随后火箭的子进程释放卫星。

然后, 卫星故意执行一个可疑动作, 触发终端 av 检测, 然后卫星映像文件 (其中包含payload) 就被自动发送到 云AV。接下来, 云 av 在互联网连接的沙箱中执行卫星文件, 卫星进程可以尝试使用任何已知的基于互联网的方法窃取嵌入的Payload。安全研究员解释说。

"请注意, 对与AV产品可能会将卫星标记为可疑文件来说，这种攻击是 ' 嘈杂 ' 的, 因此这可能会对用户有明显的影响, 可以在日志和记录中看到。

然而, 在一次窃取的攻击中, 看到已经太迟了, 因为当这一事件被人进行分析的时候, payload早已经上传到了云中,。”

该怎么缓解这种利用形式 除非放弃云查杀

一个缓解方案是阻止 av 沙箱 (on-premise以及云沙箱) 访问互联网。然而, 这在许多情况下可能过于严格, 因为它不再允许云端服务器观察样本。因此, 互联网阻塞措施只能用于非互联网模式的样本, 因为它们不携带企业终端的payload, 也不能窃取终端有用的任何东西。研究人员总结道。

"总结一下, 从组织内部向外部世界分享一个可执行文件 (可疑/恶意样本)的一些方式(例如提交样本到云分析服务或允许这样文件提交) 可能导致数据泄露, 除非你有信心确保样本的完整性。"

云防病毒方案的漏洞 沙盒的利用

点击这里下载