安全工具遭惡意利用

網(wǎng)絡(luò)安全團(tuán)隊(duì)近期發(fā)現(xiàn)，威脅攻擊者正通過盜版Shellter Elite反病毒規(guī)避軟件傳播惡意程序。使用該商業(yè)軟件檢測(cè)漏洞的企業(yè)安全官（CISO）需立即升級(jí)至最新版本。這款由Shellter Project開發(fā)的工具主要用于紅隊(duì)測(cè)試，其11.0版本于4月16日發(fā)布，但Elastic安全實(shí)驗(yàn)室在4月底就監(jiān)測(cè)到多起利用該軟件打包信息竊取程序的攻擊活動(dòng)。

Elastic在7月2日的博客中披露，攻擊者使用疑似遭篡改的Shellter Elite版本繞過企業(yè)IT防御。作為回應(yīng)，Shellter Project在7月4日承認(rèn)確有客戶泄露軟件副本，但指責(zé)Elastic"魯莽且不專業(yè)"——盡管Elastic提供了幫助追蹤泄露源的樣本，卻拖延數(shù)月才告知漏洞情況。

雙方各執(zhí)一詞

Shellter在官方博客中控訴："Elastic安全實(shí)驗(yàn)室優(yōu)先考慮 publicity（公眾宣傳）而非 public safety（公共安全）。若非我們因私人原因推遲新版本發(fā)布，涉事客戶本可能獲得具備更強(qiáng)規(guī)避能力的新版軟件，甚至能繞過Elastic自身的檢測(cè)機(jī)制。"該軟件具備運(yùn)行時(shí)規(guī)避功能，可幫助紅隊(duì)隱藏指令控制信標(biāo)，這些能力對(duì)攻擊者極具價(jià)值。

Elastic則向CSO表示，他們?cè)?月18日發(fā)現(xiàn)可疑活動(dòng)后兩周內(nèi)就發(fā)布了研究報(bào)告，整個(gè)過程符合"透明化、負(fù)責(zé)任披露和防御者優(yōu)先"原則。該公司強(qiáng)調(diào)："行業(yè)標(biāo)準(zhǔn)要求我們盡快向安全社區(qū)通報(bào)研究成果，這有助于防御者應(yīng)對(duì)包括安全控制繞過技術(shù)在內(nèi)的新興威脅。"

攻防立場的本質(zhì)沖突

加拿大事件響應(yīng)公司Digital Defence負(fù)責(zé)人Robert Beggs指出，這實(shí)質(zhì)是攻防兩端視角的碰撞："Elastic的使命就是檢測(cè)Shellter這類工具。發(fā)現(xiàn)能檢測(cè)專業(yè)規(guī)避工具的能力，對(duì)其產(chǎn)品價(jià)值是絕佳證明。"他認(rèn)為不存在所謂的"道德義務(wù)"，就像微軟不會(huì)指望別人來告知其防御工具的缺陷。

Beggs直言："Shellter試圖用'負(fù)責(zé)任披露'這個(gè)攻防產(chǎn)品供應(yīng)商間根本不存在的概念制造道德綁架。將此事曲解為倫理違規(guī)是極端且拙劣的解讀。"他舉例道，若某產(chǎn)品能繞過Microsoft Defender（微軟防御器），是否必須立即通知微軟？顯然微軟始終自行承擔(dān)著改進(jìn)工具的責(zé)任。

漏洞披露的行業(yè)準(zhǔn)則

雖然漏洞披露尚無硬性規(guī)定，但OWASP（開放網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目）建議：

• 研究人員應(yīng)確保測(cè)試合法合規(guī)，通過安全渠道提交漏洞，并提供足夠驗(yàn)證細(xì)節(jié)
• 企業(yè)需建立清晰的漏洞報(bào)送機(jī)制，在合理時(shí)間內(nèi)響應(yīng)，避免訴諸法律威脅

OWASP更傾向漏洞先私下報(bào)告開發(fā)者，是否公開細(xì)節(jié)應(yīng)由廠商決定。除非廠商對(duì)已報(bào)告漏洞置之不理，公開披露才可作為施壓手段。當(dāng)前爭議凸顯網(wǎng)絡(luò)安全領(lǐng)域仍需完善協(xié)調(diào)機(jī)制，平衡攻防雙方的利益訴求。