最近有报道称,黑客组织 Fxmsp“ ......声称已经获得了对三个领先的反病毒公司的访问权限”,并且他们“ ......从属于这三个公司的反病毒软件、人工智能和安全插件中提取了敏感的源代码。 ”此外,该组是:
...[O] 以超过 300,000 美元的价格出售它和网络访问权。
[强调我的]
Forbes.com 的一篇文章在报道这一启示时警告说:
访问源代码使黑客有机会找到最引人注目的漏洞并加以利用,从而使软件无用……或更糟。他们甚至可以将曾经合法的恶意软件防护转变为非常有效的间谍工具。
该报告没有提及受感染的安全供应商是谁,我也找不到任何迹象表明该信息已公开发布。
这导致了我的问题。如果我的组织正在运行受感染的安全软件怎么办?我们可以做些什么来保护我们的环境?是否有甚至可以设想这样的场景的最佳实践?
被入侵的 AV 软件是一件大事,它通常对您的系统拥有各种特权,包括控制您的软件防火墙。
如果幸运的话,他们只会使用访问权限来安装勒索软件或其他明显恶意的东西。在这种情况下,您最好的防御是良好的备份。当您的机器出现感染迹象时,您可以将系统恢复到允许他们访问您机器的恶意更新之前,然后删除 AV 软件并用其他产品替换它。
旨在劫持您的机器的东西(如间谍软件、僵尸网络软件等)可能更危险,因为入侵旨在阻止您计算机的整个防御系统,该系统通常可以防止此类事情发生,同时能够隐藏很长时间。备份恢复仍然是一个可行的选择。您可以在这里做的最好的事情是在您的路由器中内置一个好的防火墙/AIS。您的路由器可能无法修复感染,但有时它可以阻止此类感染与命令和控制服务器通信,从而使感染基本上处于惰性状态。
我会说安全性“始终深入”。你所阅读的内容在某种程度上是公开的。戴上我的锡箔帽,假设先进和国家资助的组织也对其他安全软件进行攻击是个好主意(您可能已经阅读了一个以色列组织如何入侵卡巴斯基并看到一个俄罗斯组织如何也入侵它们并窃取了一些数据几年前)。以色列黑客的网络监控比卡巴斯基本身更好。因此,我们的目标是让坏人和所谓的好人尽可能地难上加难。
好的做法?
还有很多很多。