360安全卫士被爆存在“本地提权”漏洞,截止到2010年2月3日11时,其产品并未修复,而官方宣称已修复(见360的官方报道)。随后奇虎360安全卫士又被曝出给用户电脑安装“后门”,任意读取用户隐私文件。问题暴露后,奇虎奇虎360不但没有承认自身问题,反而通过删除网络新闻、个人博客、威胁媒体、枪手发帖等手段欺骗用户,掩盖事实真相、混淆视听。瑞星公司宣称本着对所有360用户安全负责的态度,公布360“后门”部分技术细节,请奇虎360尽快停止安装“后门”,停止侵害用户权益的行为。 请奇虎360公司以严谨的态度尽快面对以下问题:
第一:请对360安全卫士存在的“后门”进行解释;
第二:对2月1日公布的360安全卫士“本地提权”漏洞仍未修复,却在官方宣布已经修复的问题做出解释;
第三:请尽快对以上两大严重产品缺陷进行修复。
360安全卫士“后门”细节分析
360安全卫士后门程序涉及的主要文件是:在安装进入系统时自带的驱动文件bregdrv.sys、bfsdrv.sys,以及对这两个驱动文件调用的动态链接库bregdll.dll、bfsdll.dll。
bregdrv.sys:360内核模式驱动,该驱动程序通过调用操作系统的未公开CmXxx系列函数来操作注册表,另外由于操作系统内部本身维护了很多同步数据、缓存数据,直接调用CmXxx系列函数操作注册表极有可能造成系统内部数据不同步,严重影响系统安全性,甚至可能导致用户正常数据丢失;360后门部分功能代码截图一
bregdll.dll:用户态动态库,该动态库封装了对bregdrv.sys的调用,为用户态程序提供注册表操作后门的接口;该动态库仿照Windows操作系统API接口(加B作为前缀)导出了如下注册表操作函数,但与WindowsAPI不同的是,bregdll.dll导出的函数在实现上绕过了操作系统的所有安全检查,直接调用极为低层的未公开CmXxx系列函数实现:1.BRegCloseKey 2.BRegCreateKey3.BRegCreateKeyEx4.BRegCreateKeyExW
5.BRegCreateKeyW 6.BRegDeleteKey7.BRegDeleteKeyW8.BRegDeleteValue
9.BRegDeleteValueW 10.BRegEnumKey11.BRegEnumKeyEx12.BRegEnumKeyExW
13.BRegEnumKeyW 14.BRegEnumValue15.BRegEnumValueW16.BRegOpenKey
17.BRegOpenKeyEx 18.BRegOpenKeyExW19.BRegOpenKeyW20.BRegQueryValueEx
21.BRegQueryValueExW22.BRegSetValueEx23.BRegSetValueExW
bfsdrv.sys,该驱动程序通过直接向文件系统发送I/O请求包(IRP)来实现文件操作,这种方式可以绕过基于过滤驱动的文件监控(包括卡巴斯基、诺顿等安全软件)。由于该程序没有对调用者进行检查,导致可以被任意程序(如各种木马程序等)利用达到修改、删除用户正常文件的目的。
bfsdll.dll:用户态动态库,该动态库封装了对bfsdrv.sys的调用,为用户态程序提供文件操作后门的接口;该动态库仿照Windows操作系统API接口(加FS或Bfs作为前缀)导出了如下文件操作函数,但与WindowsAPI不同的是,bfsdll.dll导出的函数在实现上绕过了所有文件系统上层的过滤驱动,直接向文件系统发送I/O请求包实现:
1.BfsMoveFileExW 2.FSCloseHandle3.FSCopyFile4.FSCopyFileW
5.FSCreateFile 6.FSCreateFileW7.FSDeleteFile8.FSDeleteFileW
9.FSFindClose10.FSFindFirstFile11.FSFindFirstFileW 12.FSFindNextFile
13.FSFindNextFileW14.FSGetFileAttributes15.FSGetFileAttributesEx
16.FSGetFileAttributesExW17.FSGetFileAttributesW18.FSGetFileSize
19.FSGetFileSizeEx20.FSGetLongPathName21.FSGetLongPathNameW
22.FSGetShortPathName23.FSGetShortPathNameW24.FSPathFileExists
25.FSPathFileExistsW26.FSPathIsDirectory27.FSPathIsDirectoryW
28.FSReadFile 29.FSSearchPath30.FSSearchPathW31.FSSetFileAttributes
32.FSSetFileAttributesW33.FSSetFilePointer34.FSSetFilePointerEx 35.FSWriteFile上述API均通过DeviceIoControl/NtDeviceIoControlFile来调用驱动提供的不同文件操作功能,这些操360后门部分功能代码截图二作均会绕过基于过滤驱动的文件监控。
360安全卫士没有遵循正常的操作系统安全机制,却直接绕开了系统安全检查机制。其不仅具有“后门”功能,而且该程序存在重大安全隐患,利用此程序不需要任何身份认证,可轻易被黑客利用窥视用户隐私、读取、修改或删除用户电脑中的所有文件和注册表信息。
例如,任意普通用户可以在低权限的情况下实现删除系统安装的安全软件,隐藏自己的恶意程序。而通过bregdrv.sys对注册表的操作,可以利用其在系统底层任意操作注册表的权限,达到更多的目的,如:
通过修改注册表存储的用户信息,将guest用户激活并克隆成管理员,但是在系统表面看来,guest用户仍然是被禁用的。
通过修改注册表实现映像劫持,将sethc.exe(系统粘滞键功能)替换成cmd.exe,这样就可以实现在登录界面上按5下shift键直接呼出一个系统权限的cmdshell窗口,执行任意指令。
360发声明称将起诉瑞星
2010年2月3日下午,瑞星公布了360安全卫士“后门”技术细节,请奇虎360尽快停止安装“后门”,停止侵害用户权益的行为。对此,360向媒体发送了“紧急提醒”,称瑞星公布后门技术已经涉嫌触犯刑法,将就此正式起诉瑞星。
以下为其声明全文: 各位尊敬的媒体朋友:
瑞星这几天接连发布攻击360的文章,已远远超出正常口水战的分寸和尺度,不但公然捏造所谓360“后门”的技术细节,而且竟然公开发布针对360的攻击代码,这种做法已直接触犯刑法,别说安全厂商,连大多数黑客都不敢这么做!
在安全行业,公布攻击代码相当于传播病毒,刑法将这种行为定义为“提供专门用于侵入、非法控制计算机信息系统的程序”。在瑞星之前,即便是黑客和木马团伙,也很少有人敢在国内网站上以正式身份公布攻击代码。瑞星作为一家安全厂商,为了打击对手,竟然公然在自己官网和其它媒体上公布攻击代码,这种行为相当于号召黑客和木马犯罪团伙对360发动一场联合攻击,不但已触犯刑法,而且完全置近3亿网民(其中有几千万同时也是瑞星自己的用户)的安危于不顾!这在全世界范围内尚无先例,已完全超出正常人的理智。
我们对瑞星这种完全不计后果的做法感到十分震惊和错愕,为此将于今天正式向法院起诉,并向公安机关报案。目前此事已不再是简单的口水战,发展下去后果难测,希望媒体朋友们不要再发表瑞星的稿件,以免卷进不必要的麻烦,已经发布攻击代码和所谓“后门”细节等稿件的媒体,也请尽快撤除。
360告瑞星索赔100万,瑞星称不怕
2010年2月9日,奇虎360称,360安全卫士通过了国家信息安全产品测评,测试中没有发现360安全卫士有“后门”,也没有发现360安全卫士有漏洞。
据奇虎方面介绍,奇虎360已就瑞星公司的恶意诽谤行为向北京西城区人民法院提起诉讼,并就瑞星散布攻击代码、诱发大批黑客攻击网民的行为向公安机关报案。而瑞星公司相关人员则表示,截至2月9日,瑞星尚未接到来自法院的任何文件,该人士表示,瑞星发现360安全卫士存在“后门”,并对相关证据进行了公证,瑞星不害怕打官司。
业内人士分析认为,瑞星与奇虎的口水仗不仅是杀毒软件市场免费与收费之争,更是软件用户之争。
奇虎:瑞星是在诽谤
昨日,360安全专家石晓虹介绍说,由中国信息安全测评中心出具的安全测评报告结果表明,360安全卫士通过了Anti-Rootkit及其他漏洞和用户隐私泄露的脆弱性评估测试,测试中没有发现有漏洞,也没有发现360安全卫士会泄露用户的隐私。
据了解,中国信息安全评测中心是我国专门从事信息技术安全测试和风险评估的权威职能机构,主要职能包括负责信息技术产品和系统的安全漏洞分析与信息通报等。
然而,这份检验结果却与这场口水仗的另一主角瑞星此前的说法大相径庭。
2010年2月2日,瑞星发布公告称,发现360安全卫士在安装进用户电脑时,会偷偷开设“后门”。
瑞星方面相关人士解释称,“后门”是软件编写人员故意放入的,正常软件不会编写放置“后门”,作为用户安全保护者的安全软件更不能有任何“后门”,只有黑客程序才会出于不正当的目的,为窃取用户信息加入“后门”。
对此,奇虎方面回应称,被瑞星称为“后门”的驱动程序Anti-Rootkit是国际上比较流行的杀毒技术,在国外多款著名杀毒软件上都有相应模块,它的作用是强力检测和清除木马、病毒,让使用内核技术的木马无处隐藏。
都是免费惹的祸
实际上,瑞星与奇虎的“口水仗”从奇虎宣布软件免费时就开始上演。在业内人士看来,瑞星与奇虎的口水仗不仅是杀毒软件市场免费与收费之争,更是软件用户之争。
第三方数据显示,截至2009年底,360安全卫士的市场份额已超过72.8%,用户超过2.1亿。有消息人士称,360安全卫士已超越瑞星占据国内市场份额第一的宝座。
一位不愿意透露姓名的业内人士认为,瑞星与奇虎的竞争代表着传统收费与互联网免费两种理念的交锋,“免费模式无疑更容易博得用户眼球,同时也触动了收费者的蛋糕。”
此前,瑞星等多家传统杀毒软件厂商曾表示,由于软件安全产品投入巨大,每年投入的研发服务费用高达数亿,免费模式根本无法支撑这种投入。
对此,奇虎高层齐向东却认为,杀毒早已是互联网的基础服务之一,应该免费向使用者提供。在形成大规模的用户群体后,只要提供一点增值服务,即可实现盈利。[4]中国信息安全测评中心未发现360"后门"针对最近网上流传的360安全卫士存在“后门”的传言,中国信息安全测评中心2010年02月09日出具测评报告表明:经过严格的技术审查和安全性测试,360安全卫士通过了国家信息安全产品测评,获得了国家信息安全测评EAL2级证书。测试过程没有发现360安全卫士有“后门”,也没有发现360安全卫士有漏洞。 中国信息安全测评中心是我国专门从事信息技术安全测试和风险360安全卫士 资料图片评估的权威职能机构。依据中央授权,测评中心的主要职能包括:负责信息技术产品和系统的安全漏洞分析与信息通报;负责党政机关信息网络、重要信息系统的安全风险评估;开展信息技术产品、系统和工程建设的安全性测试与评估等。自1997年创立以来,测评中心依照国家法律法规,在信息安全领域为国家提供技术保障,向社会提供公共服务。 360安全卫士是由奇虎360科技有限公司开发的互联网安全软件,拥有2.8亿用户,市场覆盖率高达75%。最近,有人在网上大规模恶意传播所谓360“后门”的截图、代码和文章,引起网民的关注。 中国信息安全评测中心检测结果表明:360安全卫士通过了Anti-rootkit及其他漏洞和用户隐私泄露的脆弱性评估测试,结果没有发现漏洞,也没有发现360泄露用户隐私。该测试结果表明,360软件并没有发现有“后门”。 此前,著名反病毒专家、国家863计划“计算机实时防护技术”课题组组长刘旭,在分析了网上流传的截图和代码后也表示,所谓的360“后门”并不存在。 对于网上有人捏造所谓“360后门”的谣言,奇虎360公司总裁齐向东认为,这是一种以伤害网民为代价的不正当竞争行为。作为一种永久免费的互联网安全产品,360系列软件一经推出就得到了广大互联网用户的欢迎。“尊重用户的知情权、选择权,和保护用户的隐私权,这是360公司一直坚持的商业准则。360安全软件通过了国家信息安全产品的认证检测,说明360公司在保护用户隐私权方面,是经得起考验的。”