• 所有社区 - 中文
    • 所有社区 - 中文
    • 论坛
    • 创意
    • 博客
高级
好评17 Stats

引入主动漏洞防护

Norton Security 客户(实际上,是运行诺顿的 Windows 客户端 22.5.4 或更新版本的任何人)可受益于引入的新防护结构,称为“主动漏洞防护 (PEP)”,这个防护旨在更能保护 Windows 设备免于受到所谓的零时间攻击,这会试图利用 Windows 应用程序或操作系统中未被发现和未修补的漏洞(或弱点)进行攻击。PEP 的特色是具有三种强大的防护技术,可在进行跟踪时阻止数种盛行的零时间攻击。

“零时间”生态系统的快速入门

安全研究员或正派黑客会频繁地在他们研究的软件中发现漏洞。然后通知受影响的软件商,并且与他们一同合作,以确保发行可解决潜在漏洞的“修补程序”。然而,如果是有恶意的攻击者先发现漏洞,他们可能会编写能够利用漏洞的代码,试图未经授权远程访问运行易受攻击软件的设备。

最近这几年来,我们看到了在 Internet 攻击中利用零时间漏洞的次数显著地增加。这里面虽然存在有许多因素,但是通过我们的研究,我们相信驱使最近零时间漏洞上扬的原因,是渴望利用这些漏洞获利的攻击者的合作和专业水平的提升所致。
 

零时间漏洞:频率和影响不断增加

零时间漏洞的数量

来源:ISTR Internet 安全威胁报告,Symantec 2015 年​

零时间漏洞通常暴露多久时间?

我们的分析显示,在 2014 年扩散的前五大零时间攻击,让软件商在攻击后平均耗费 59 天时间才得以推出软件修补给他们的客户。该数字并未包含那些漏洞存在人们的装置中未被发现的时间(通常是数月,有时候甚至数年),或是人们实际必须应用个别修补额外时间。

修补前五大零时间漏洞的平均时间

在 2014 年前五大零时间漏洞的平均修补时间- 59 天

主动漏洞防护能做什么来对抗零时间攻击的威胁?

诺顿的主动漏洞防护技术的运作是通过识别一系列的恶意行为,而那些行为是零时间攻击的一般特征,之后则仅阻止显现那些特定行为的软件。这个方式最令人兴奋的其中一面是,其提供防护的时机是部署易受攻击的软件时而不是最终发现漏洞或是受到攻击时。这一点相形重要是因为其结果有可能是零时间攻击利用已经存在多月有时甚至多年都未被发现的漏洞。

主动漏洞防护如何在真实世界达成更卓越的防护?

就让我们以最近发生的零时间攻击为例,这是去年稍早蔓延被称为 Operation Pawn Storm 的攻击,主要(英文说明利用广为部署的 Java 软件环境中的漏洞发动攻击。

为达到其目标,Operation Pawn Storm 攻击Java 中的漏洞,禁用称为 Java Security Manager 的组件。诺顿客户在这个案例中相对快速地(大约一天后)受到保护,运行 Java 的非诺顿客户则多等两天,直到 Oracle(开发 Java 的公司)发行修补程序,才得以保护 Java 客户免于受到 Operation Pawn Storm 的攻击。不幸的是,许多 Java 用户因为某种程度在应用可用的软件更新上漫不经心,甚至在数月后仍然未受保护。

PEP 的 Java 防护技术的目标不只是消除延迟保护客户时机的现象,还更进一步提供完整的防护来对抗 Java 零时间的攻击,藉助的方法是阻止任何试图禁用 Java Security Manager 的代码,如此一来不管未来发现什么样的新型漏洞犯罪都能加以抵御。


Operation Pawn Storm 时间表

Heap Spray 堆喷射攻击和结构化异常处理程序

Java 攻击之外,恶意软件作者在过去几年着重两个其他常见攻击类别。Heap Spray(堆喷射)是指尝试在预先确定的内存位置插入有恶意的代码,希望会有漏洞的应用程序(一般是 Web 浏览器或浏览器插件)执行它。因此,PEP 包括 Heap Spray(堆喷射)预防模块,此模块实质上是使用良性代码预先填入某些内存位置,以有效阻止来自使用那些内存位置所发动的恶毒攻击。

PEP 也具有称为结构化异常处理程序覆盖防护的特色技术。如其名称所示,PEP 将阻止有恶意的代码覆盖称为的特殊 Windows 例程Structured Excepti结构化异常处理程序脑万一在运行应用程序时若突然发生异常(或意外的事件)该做什么。异常可能是由许多不定期发生的情况触发,例如被零除的呼叫或尝试访问无效的内存地址。Windows 对于每一个类别都有一组唯一的“处理程序”例程。不幸的是,聪明的攻击者已经找出劫持此异常处理机制的途径,方法是通过采用一个三步做法:

  1. 编写有恶意的代码到内存位置。
  2. 覆盖适用于特殊异常(例如,访问违反)的 Windows 结构化异常处理程序例程,以便它现在指向有恶意的代码。
  3. 触发适当的异常,以便 Windows 参考覆盖的处理程序例程并诱骗其运行该恶意代码。

攻击者过去就是以这方式得以获取用户设备的完整远程控制权,用户甚至不用浏览到特殊(被黑客攻击或有恶意的)网站。PEP 对此的防护策略很简单:注意并且防止应用程序覆盖 Windows 的结构化异常处理程序。如此,PEP 就能防止各种利用此途径的零时间攻击。

主动漏洞防护保有的承诺

PEP 是一个吸引人的新结构,为诺顿客户提供关键优势,让他们从以前被视为快速的实时防护转到即时的主动防护,以强固系统、甚至在潜在漏洞被发现之前实际修补它们。还有,因为这个基于行为的系统特质,它不用仰赖特征更新都能保持有效状态。在一个数月或数年未获修补和发现的漏洞世界中,零时间攻击会越来越常见,PEP 是非常重要的防护层,我们相信对于客户的数字生活将会有显著的正面影响。