安全工具 Shellter 遭篡改事件引发漏洞披露争议
网络安全团队近期发现,威胁攻击者正通过盗版Shellter Elite反病毒规避软件传播恶意程序。使用该商业软件检测漏洞的企业安全官(CISO)需立即升级至最新版本。这款由Shellter Project开发的工具主要用于红队测试,其11.0版本于4月16日发布,但Elastic安全实验室在4月底就监测到多起利用该软件打包信息窃取程序的攻击活动。
Elastic在7月2日的博客中披露,攻击者使用疑似遭篡改的Shellter Elite版本绕过企业IT防御。作为回应,Shellter Project在7月4日承认确有客户泄露软件副本,但指责Elastic"鲁莽且不专业"——尽管Elastic提供了帮助追踪泄露源的样本,却拖延数月才告知漏洞情况。
Shellter在官方博客中控诉:"Elastic安全实验室优先考虑 publicity(公众宣传)而非 public safety(公共安全)。若非我们因私人原因推迟新版本发布,涉事客户本可能获得具备更强规避能力的新版软件,甚至能绕过Elastic自身的检测机制。"该软件具备运行时规避功能,可帮助红队隐藏指令控制信标,这些能力对攻击者极具价值。
Elastic则向CSO表示,他们在6月18日发现可疑活动后两周内就发布了研究报告,整个过程符合"透明化、负责任披露和防御者优先"原则。该公司强调:"行业标准要求我们尽快向安全社区通报研究成果,这有助于防御者应对包括安全控制绕过技术在内的新兴威胁。"
攻防立场的本质冲突加拿大事件响应公司Digital Defence负责人Robert Beggs指出,这实质是攻防两端视角的碰撞:"Elastic的使命就是检测Shellter这类工具。发现能检测专业规避工具的能力,对其产品价值是绝佳证明。"他认为不存在所谓的"道德义务",就像微软不会指望别人来告知其防御工具的缺陷。
Beggs直言:"Shellter试图用负责任披露这个攻防产品供应商间根本不存在的概念制造道德绑架。将此事曲解为伦理违规是极端且拙劣的解读。"他举例道,若某产品能绕过Microsoft Defender(微软防御器),是否必须立即通知微软?显然微软始终自行承担着改进工具的责任。
漏洞披露的行业准则虽然漏洞披露尚无硬性规定,但OWASP(开放网络应用安全项目)建议:
研究人员应确保测试合法合规,通过安全渠道提交漏洞,并提供足够验证细节企业需建立清晰的漏洞报送机制,在合理时间内响应,避免诉诸法律威胁OWASP更倾向漏洞先私下报告开发者,是否公开细节应由厂商决定。除非厂商对已报告漏洞置之不理,公开披露才可作为施压手段。当前争议凸显网络安全领域仍需完善协调机制,平衡攻防双方的利益诉求。
