cnBeta 潜水
  • 15发帖数
  • 15主题数
  • 0关注数
  • 0粉丝
开启左侧

安全研究职员发出告诫:谨防易被人工审核忽略的木马漏洞源码

[复制链接]
cnBeta 发表于 2021-11-1 16:41:10 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
Light Blue Touchpaper 本日分享了一份标题为《木马源码:隐形毛病》的文章,其中提到了一些“酷炫”的新本领,以充实利用难以被人类代码审核职员当场抓获的目的毛病。据悉,想要将毛病引入某款软件,制作者可尝试在一段晦涩的代码片段中插入一个不显眼的“错误”。那样即使操作系统等关键开源项目制定了严格的人工审核流程,但邪恶的代码还是很容易被漏过。

                               
登录/注册后可看大图
(来自:Light Blue Touchpaper | PDF)
Ross Anderson写道:“我们发现了利用源代码文件编码的新方法,特点是让人类审核员和编译器看到不同的实行逻辑”。
据悉,这种特别的有害方法利用了 Unicode 的方向覆盖字符,以将真实代码隐匿于字符迷藏之下。
研究职员已证实,这种攻击已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python 等变成语言,并且有望扩大覆盖其它现代语言。

                               
登录/注册后可看大图
除了编号为 CVE-2021-42574的通用毛病披露报告,MITRE 还指出了可利用“同形文字”(视觉上相似的字符)的CVE-2021-42694攻击方法。
为了给毛病修复腾出时间,安全研究职员专程拖了 99 天才正式披露。目前许多编译器、解释器、代码编辑器、以及存储库,都已经落实了专门的防御手段。

                               
登录/注册后可看大图
Ross Anderson 补充道,这项攻击的灵感,源于其近期在“不可查觉的扰动”等方面的最新工作。
其使用方向性覆盖、同形文字、以及其它 Unicode 功能,实现了用于有毒内容过滤、机器翻译和其它自然语言处理(NLP)等任务,且基于文本的机器学习系统。
感兴趣的朋友,可移步至 trojansource.codes 项目门户,检察有关“木马源码”(Trojan Source)攻击的更多细节、或在 GitHub上检察概念验证。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

猜你喜欢
在线客服邮箱
wxcy#wkgb.net

邮箱地址#换为@

Powered by 创意电子 ©2018-现在 专注资源实战分享源码下载站联盟商城