来自SafeBreach的安全研究专家设计出了一种恶意软件，这种恶意软件能够利用云端增强型反病毒（AV）代理从没有直接接入互联网的终端设备中提取数据。

安全研究专家认为，某些高度安全的企业可能会采取严格的数据出口过滤规则，这也就意味着终端设备可能没有直接接入互联网，或者是终端设备的链接会被重定向到安装了防护软件的主机（作为网关），但如果企业环境中使用了云AV产品的话，企业的敏感数据依然是有可能被不法分子窃取的。

来自SafeBreach实验室的Itzik Kotler和Amit Klein就在前两天刚刚于美国举办的2017年Black Hat黑客大会上演示了这种恶意软件。研究人员表示，恶意软件在感染了终端设备之后，恶意软件的主进程回创建一个可执行文件，并将终端设备的数据封装在这个可执行文件之中。此时AV产品便会检测到这种恶意的可执行文件，如果云AV产品采用了联网沙盒环境的话，那么当AV代理将这个刚生成的可执行文件上传到云端进行进一步分析时（文件在联网沙盒环境中被执行），这款PoC工具便能够从这个可执行文件中提取出数据。

在研究人员发表的白皮书【PDF】中，研究人员不仅提供了相关数据以及云端反病毒产品沙盒环境的内部结构分析，而且还描述了云端AV产品的扫描机制、恶意软件分类机制以及病毒样本共享机制等内容。除此之外，他们还介绍了这种攻击技术的增强型攻击方法，并给云端AV厂商提供了相应的缓解方案。

这款PoC工具名叫Spacebin，目前该工具的源代码已经上传到了GitHub上。该项目中包含服务器端以及客户端的代码，以及工具的使用方法，所有与该工具有关的东西都可以在该项目的GitHub主页上找到。【传送门】

Kotler和Klein主要对两个高度安全的组织的两种网络架构进行了分析：在其中一个组织中，终端设备没有网络访问权，但是反病毒管理服务器可以连接网络；另一个组织中，终端设备与主机相连，这也就意味着它们可以受限制地访问网络。在上面这两种场景中，所有的终端设备都部署了云AV代理。

研究人员表示：“我们利用的是基于云端的反病毒沙盒功能，很多反病毒厂商目前都在使用这种功能。这种功能的基本原理是：它能够允许AV厂商通过轻量级的代理软件在云端进行繁重的安全分析任务。具体而言，在这种体系架构中，AV代理只需要对特定的进程和文件进行基本的安全检测，而对于那些无法确定其恶意性的文件来说，它们将会被转移到一个“灰色地带”，这个“灰色地带”中的所有进程或文件都将被发送到云端进行进一步分析，用户可以从云端获取最终的分析结果（几乎无需等待）。”

一般情况下，待检测的文件样本都会在云端AV沙盒环境中被执行，并且在沙盒中观察其行为，这样可以防止恶意程序对真实用户或实体设备造成损害。AV云沙盒通常都需要接入互联网，因为这样可以提升其检测能力（比如说，恶意软件可能会尝试连接一台命令控制服务器，此时沙盒就可以检测到这种行为了）。

研究人员解释称，攻击者进程（代号Rocket）中还包含一个可执行文件（代号Satellite），Satellite可以被加密或压缩以掩盖自己可执行文件的身份，因此Satellite可以成为Rocket内存空间中的一部分数据，而不会对Rocket本身造成影响。Satellite中包含一个占位符，这个占位符可以存储任何需要提取的数据（Payload），而且Rocket需要知道这个占位符的具体位置。

在攻击的过程中，Rocket负责收集那些最终需要提取出来的数据（Payload），然后解密/解压Satellite并将Payload嵌入到Satellite镜像（还可以对Payload进行压缩或加密）中，接下来将Satellite镜像以文件的形式写入到磁盘中，最终生成Satellite子进程。接下来，Satellite会故意进行一些可疑行为来触发终端设备的AV检测，随后Satellite镜像文件（包含Payload）便会被被上传到云端。上传之后，云AV会在联网沙盒环境中执行Satellite文件，而Satellite进程就可以使用任意一种基于网络的数据提取方法从中提取出Payload了。

但是这种攻击方式的隐蔽性还不够好，因为AV产品会将Satellite文件标记为可疑文件，而此时用户很有可能会注意到，而且日志和记录文件都会对这种行为进行记录。但是此时攻击已经发生了，数据也已经被攻击者提取走了，所以一切都已经来不及了。

* 参考来源：securityweek， FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM