Malvuln已經(jīng)對惡意軟件中發(fā)現(xiàn)的數(shù)百個漏洞進(jìn)行了編目，盡管該項目尚未被證明對任何人都有用，但它的開發(fā)者并不會因此氣餒。

　　Malvuln是安全研究員John Page（又名hyp3rlinx）的一個有趣項目，它對惡意軟件中發(fā)現(xiàn)的漏洞進(jìn)行了分類，并提供了如何利用這些漏洞的信息。Malvuln.com 于2021年 1 月 2 日推出，為惡意軟件中的安全漏洞提供利用代碼，其方式與 VulDB 和 WhiteSource 等類似站點為正常應(yīng)用程序和開源組件所做的相同。

　　自從2021年1月初啟動該項目以來，John Page已經(jīng)在大約105個惡意軟件家族中發(fā)現(xiàn)了260多個漏洞，包括木馬、蠕蟲、后門、dropppers和勒索軟件。平均每個惡意軟件存在2.5個漏洞。

　　這些漏洞包括與內(nèi)存損壞、不安全的權(quán)限、硬編碼憑據(jù)、身份驗證繞過、目錄遍歷和信息泄露有關(guān)的問題。一些缺陷可以被DoS攻擊所利用（即導(dǎo)致惡意軟件崩潰），而另一些則允許未經(jīng)身份驗證的“攻擊者”遠(yuǎn)程執(zhí)行任意命令——在已經(jīng)感染的系統(tǒng)上執(zhí)行操作系統(tǒng)命令或由惡意軟件提供的命令。

　　當(dāng)被問及的漏洞中是否有突出的漏洞時，這位研究人員指出了未經(jīng)驗證的遠(yuǎn)程命令執(zhí)行漏洞，他稱其為“輕松取勝”。

　　2021年年初啟動這個項目時，John Page告訴《安全周刊》，在某一點上，Malvuln的信息可能對某些人有用——例如，如果漏洞是遠(yuǎn)程的，案例事件響應(yīng)小組可以在不接觸失陷機器的情況下禁用惡意軟件。然而，到目前為止，Malvuln似乎對網(wǎng)絡(luò)安全社區(qū)的任何人都沒有用處。另一方面，研究人員說，他進(jìn)行這個項目是為了自己，為了好玩。

　　當(dāng)Malvuln被公布時，一些業(yè)內(nèi)人士表示擔(dān)心這些信息會對不良行為者有用，比如直接對惡意軟件開發(fā)者的價值，他們可能修正惡意軟件的問題，從而并可能阻礙對惡意活動進(jìn)行的研究。

　　“有些人可能不把這個項目當(dāng)回事，或者認(rèn)為這是在浪費時間，但我不在乎，也不期待任何東西。如果有什么結(jié)果，好吧，如果沒有，我不在乎，”John Page在周末通過電子郵件告訴《安全周刊》。

　　到目前為止，所有的漏洞都是John Page自己發(fā)現(xiàn)的。在過去，他曾暗示他可以接受第三方捐款，但現(xiàn)在他說他不想“與任何人交易”。

　　這位研究人員說，他沒有在這個項目上投入很多時間。“我沒想去追蹤，但投入的時間非常少——在業(yè)余時間做，基本上是為了好玩。”

　　傳統(tǒng)的漏洞存儲庫會在應(yīng)用程序用戶的系統(tǒng)易受攻擊時發(fā)出警報，并提供有關(guān)修補或緩解它們的說明——盡管網(wǎng)絡(luò)騙子也能從中受益，存在著圍繞是否公開披露的爭議性辯論。Malvuln項目顛覆了這種態(tài)勢。到底是助紂為虐，還是除暴安良？

　　2019 年，安全研究員 Ankit Anubhav 展示了這種資源可能在野外產(chǎn)生的影響，記錄了 Mirai 惡意軟件中的一個“微不足道的錯誤”是如何被“腳本小子和競爭對手的威脅參與者”用來“使彼此的 C2 崩潰”的。一位威脅行為者告訴他，“如果編寫一個腳本來檢查 C2 何時啟動并使其持續(xù)崩潰，它將使所有基于 Mirai 的僵尸網(wǎng)絡(luò)幾乎毫無用處”。

　　同樣在Malvuln項目啟動時，就是安全專家預(yù)言了將來可能的應(yīng)用場景：

　　德意志銀行的惡意軟件專家 Kyle Cucci 在 Twitter 上回應(yīng) Malvuln.com 的發(fā)布時表示，他“可以看到它在 IR 場景中（非常巧妙地）使用”和“威脅行為者互相踢對方感染主人。”這造成了惡意軟件之間的PK，互相利用漏洞來清除或遏制對方。

　　獨立安全研究人員‘Eduardo B’在推特上寫道：“想象一下一個具有rootkit功能的持久性惡意軟件，你可以簡單地對其進(jìn)行漏洞利用以使其崩潰和/或禁用……或者可靠地追溯到它的真正來源。”