Malvuln已經(jīng)對惡意軟件中發(fā)現(xiàn)的數(shù)百個漏洞進行了編目，盡管該項目尚未被證明對任何人都有用，但它的開發(fā)者并不會因此氣餒。

　　Malvuln是安全研究員John Page（又名hyp3rlinx）的一個有趣項目，它對惡意軟件中發(fā)現(xiàn)的漏洞進行了分類，并提供了如何利用這些漏洞的信息。Malvuln.com 于2021年 1 月 2 日推出，為惡意軟件中的安全漏洞提供利用代碼，其方式與 VulDB 和 WhiteSource 等類似站點為正常應用程序和開源組件所做的相同。

　　自從2021年1月初啟動該項目以來，John Page已經(jīng)在大約105個惡意軟件家族中發(fā)現(xiàn)了260多個漏洞，包括木馬、蠕蟲、后門、dropppers和勒索軟件。平均每個惡意軟件存在2.5個漏洞。

　　這些漏洞包括與內存損壞、不安全的權限、硬編碼憑據(jù)、身份驗證繞過、目錄遍歷和信息泄露有關的問題。一些缺陷可以被DoS攻擊所利用（即導致惡意軟件崩潰），而另一些則允許未經(jīng)身份驗證的“攻擊者”遠程執(zhí)行任意命令——在已經(jīng)感染的系統(tǒng)上執(zhí)行操作系統(tǒng)命令或由惡意軟件提供的命令。

　　當被問及的漏洞中是否有突出的漏洞時，這位研究人員指出了未經(jīng)驗證的遠程命令執(zhí)行漏洞，他稱其為“輕松取勝”。

　　2021年年初啟動這個項目時，John Page告訴《安全周刊》，在某一點上，Malvuln的信息可能對某些人有用——例如，如果漏洞是遠程的，案例事件響應小組可以在不接觸失陷機器的情況下禁用惡意軟件。然而，到目前為止，Malvuln似乎對網(wǎng)絡安全社區(qū)的任何人都沒有用處。另一方面，研究人員說，他進行這個項目是為了自己，為了好玩。

　　當Malvuln被公布時，一些業(yè)內人士表示擔心這些信息會對不良行為者有用，比如直接對惡意軟件開發(fā)者的價值，他們可能修正惡意軟件的問題，從而并可能阻礙對惡意活動進行的研究。

　　“有些人可能不把這個項目當回事，或者認為這是在浪費時間，但我不在乎，也不期待任何東西。如果有什么結果，好吧，如果沒有，我不在乎，”John Page在周末通過電子郵件告訴《安全周刊》。

　　到目前為止，所有的漏洞都是John Page自己發(fā)現(xiàn)的。在過去，他曾暗示他可以接受第三方捐款，但現(xiàn)在他說他不想“與任何人交易”。

　　這位研究人員說，他沒有在這個項目上投入很多時間?！拔覜]想去追蹤，但投入的時間非常少——在業(yè)余時間做，基本上是為了好玩?！?/p>

　　傳統(tǒng)的漏洞存儲庫會在應用程序用戶的系統(tǒng)易受攻擊時發(fā)出警報，并提供有關修補或緩解它們的說明——盡管網(wǎng)絡騙子也能從中受益，存在著圍繞是否公開披露的爭議性辯論。Malvuln項目顛覆了這種態(tài)勢。到底是助紂為虐，還是除暴安良？

　　2019 年，安全研究員 Ankit Anubhav 展示了這種資源可能在野外產(chǎn)生的影響，記錄了 Mirai 惡意軟件中的一個“微不足道的錯誤”是如何被“腳本小子和競爭對手的威脅參與者”用來“使彼此的 C2 崩潰”的。一位威脅行為者告訴他，“如果編寫一個腳本來檢查 C2 何時啟動并使其持續(xù)崩潰，它將使所有基于 Mirai 的僵尸網(wǎng)絡幾乎毫無用處”。

　　同樣在Malvuln項目啟動時，就是安全專家預言了將來可能的應用場景：

　　德意志銀行的惡意軟件專家 Kyle Cucci 在 Twitter 上回應 Malvuln.com 的發(fā)布時表示，他“可以看到它在 IR 場景中（非常巧妙地）使用”和“威脅行為者互相踢對方感染主人?！边@造成了惡意軟件之間的PK，互相利用漏洞來清除或遏制對方。

　　獨立安全研究人員‘Eduardo B’在推特上寫道：“想象一下一個具有rootkit功能的持久性惡意軟件，你可以簡單地對其進行漏洞利用以使其崩潰和/或禁用……或者可靠地追溯到它的真正來源。”