安全产品不安全杀毒软件为网络攻击打开方便之门

　想象一下这种场景，公司IT部门打来电话说你的计算机已经被黑客攻破，你必须立即停下手头的一切工作。但你明明通过了公司的安全培训，并十分确定没有打开过任何可疑的邮件附件或点击过任何不良链接。你也知道自己的公司有严格的补丁策略，计算机上的软件都是最新版本。而且，你也不是那种会在工作时间访问非工作相关网站的员工。那么，这到底是怎么发生的呢?
　　
\

　　防病毒产品中的严重漏洞
　　几天过后，公司雇来调查此事件的安全公司给出了一个意料之外的答案：黑客是利用了你电脑上安装的公司防病毒程序中的一个漏洞才得以进入的，而此程序本应保护你的电脑免遭黑客攻击。这个漏洞的触发条件十分简单，攻击者只需要给你发一封邮件，你甚至不需要打开它就中招了。
　　这一场景听起来似乎有点不大可能，其实不然。通过漏洞研究人员对以往防病毒程序的分析，发现此类攻击非常有可能发生，而且很可能已经发生过了。数年来，已经有一些研究人员试图警告人们终端防病毒产品中的关键漏洞是有多么容易被找到并利用。
　　近半年以来，研究人员已经发现并报告了数十个防病毒产品中的严重漏洞，涉及的厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔安全(前迈克菲)和Malwarebytes。这些漏洞中的大多数都能让黑客远程执行恶意代码、滥用防病毒产品自身的功能、获取被攻破系统的更高权限，甚至让第三方应用的反漏洞利用防御俯首称臣。
　　其中某些漏洞甚至不需要用户互动就能被利用，还允许产生计算机蠕虫病毒(能自我复制传播的恶意程序)。很多情况下，攻击者只需要给潜在受害者发送精心编造的电子邮件，在他们经常访问的合法网站中注入恶意代码，或者将带有被感染文件的U盘插入他们的电脑即可。
　　即将到来的攻击
　　证据显示，针对防病毒产品的攻击，尤其是在企业环境下，是可行且很有可能的。一些研究人员认为此类攻击早已发生，虽然防病毒厂商可能由于受害者数量少而没有发觉。
　　各国政府的情报部门一直对防病毒产品漏洞很感兴趣。新闻网站“The Intercept ”6月报道称，英国政府通信总部(GCHQ)在2008年提交申请更新一份授权以便可以对卡巴斯基实验室的防病毒产品进行逆向以找寻弱点。该网站还报道称，根据前NSA承包商斯诺登的泄密，美国国家安全局(NSA)也大肆研究防病毒产品以规避它们的检测。
　　一个名为“面具”(The Mask)或Careto(西班牙语的mask)的网络间谍组织(可能是受国家支持的)，也曾尝试利用卡巴斯基更早版本的防病毒产品中的漏洞来规避检测。在2014年2月该组织的行动被曝光前，超过30个国家的数百个政府和私营企业的电脑被该组织渗透。
　　除了上述利用防病毒产品漏洞规避检测的主要例子，还有对影响防病毒产品的远程代码执行漏洞利用的需求，这些漏洞利用代码经由专门的代理人在基本上不受监管的漏洞利用市场上销售。
　　意大利监视公司Hacking Team去年被泄露的邮件中，有一份文档记录了一家名为“漏洞经纪国际”( Vulnerabilities Brokerage International)的机构售卖的多种漏洞利用工具。该文档列出了多款防病毒产品各种不同的提权、信息披露和检测规避漏洞利用，还有一个被标记为“已售出”的ESET NOD32防病毒产品的远程代码执行漏洞利用。
　　安全研究公司IOActive前首席技术官，入侵检测厂商Vectra现任首席安全官冈特·奥尔曼称，针对防病毒产品的漏洞利用活动已经持续了十几年。有公司专门针对其客户感兴趣的防病毒产品进行逆向工程，这些公司还逆向现有恶意软件以劫持已经被感染的系统。