崩溃报告的重要性与安全分析

关键要点

崩溃报告包含可以帮助安全专业人士提取恶意软件和漏洞的重要信息。大型厂商可以利用这些报告发现产品中的零日漏洞。安全研究者能通过崩溃报告发现恶意代码，而攻击者也可以利用这些报告寻找潜在的漏洞。最近NSA被揭露收集崩溃报告以用于自身目的。

据安全研究员兼DoubleYou首席执行官Patrick Wardle在2024年BlackHat USA大会上指出，崩溃报告中隐藏着可为安全专业人士提供宝贵信息的“金矿”。他表示：“从这些报告中，我们可以提取大量信息，以帮助我们识别恶意软件、漏洞以及更多。”

[获取SC Media、Security Weekly和CyberRisk TV关于Black Hat USA的最新报道，请访问我们的2024年Black Hat USA专题页面。]

根据Wardle的介绍，他因在Mac OS安全研究和工具开发领域的贡献而闻名，许多安全行业的部门和角色都可以从这些报告中获取有价值的信息，无论是正面的还是负面的。

在正面的方面，大型厂商能够发现其产品中的零日漏洞。Wardle解释道，由于自动化攻击通常依赖于特定条件，这些条件导致成功率相对较低，因此往往会导致崩溃。对这些报告的分析可以帮助厂商识别出应用程序是否在被指示执行异常操作。

海外加速器

同样，安全研究者也使用崩溃报告作为发现恶意载荷的一种方式，而这些载荷可能会被特征检测遗漏。Wardle提到，由于恶意软件编写者通常是粗心或缺乏经验的程序员，因此其软件经常会崩溃。精明的研究人员能够追溯崩溃报告中详细的信息，以确定导致崩溃的确切原因，从而揭示隐藏的恶意软件。

在不太正当的方面，崩溃报告也可能为攻击者提供有用的信息。在某些情况下，攻击者能够读取崩溃报告，识别出潜在的内存溢出缺陷或其他漏洞，这些漏洞可能被利用来实现远程接管。

甚至一些国家赞助的行为者也开始参与其中。Wardle提到最近一份报告，称NSA被发现收集崩溃报告以供自身使用。“这些报告中包含系统崩溃的非常具体的信息，这可能为如何利用系统提供有用的信息。”

这一策略在现实中的一个显著例子是CrowdStrike崩溃事件，其中崩溃报告在将责任从微软转移到安全供应商的过程中起到了至关重要的作用。Wardle本人也是最早为微软辩护的人之一，他能够通过崩溃报告找出问题的根源：CrowdStrike自身安全工具的故障更新导致了Windows内核崩溃。

“我们一旦获得崩溃报告，就能迅速看到这根本不是微软的问题，而是CrowdStrike的崩溃，”Wardle说。“在我看来，这些报告非常重要，因为在某些情况下，它们就是绝对的真相。”

[获取SC Media、Security Weekly和CyberRisk TV关于Black Hat USA的最新报道，请访问我们的2024年Black Hat USA专题页面。]