|
||||
近來,Google、Adobe、Yahoo等數十家高科技企業被曝遭遇黑客襲擊。在人們看來,Google等公司的網絡安全防御理應密不透風,沒想到一個名為『極光』(Aurora)的IE 0day漏洞卻為黑客大開方便之門。360安全中心近日宣稱,在微軟公司提供正式官方補丁前,360安全衛士提供的『360網盾+360臨時補丁』組合,是能夠100%攔截『極光』IE 0day漏洞攻擊的最佳安防。為了讓更多網民了解360是如何有效攔截針對該漏洞的攻擊的,360安全工程師首次披露了相關技術細節。
第一步,我們需要先了解一下,一個普通用戶在上網時是如何遭到針對該漏洞的攻擊的?
首先,某網民使用IE瀏覽器或其它第三方的IE內核瀏覽器,訪問嵌入了『極光IE 0day漏洞』攻擊代碼的掛馬網頁(可能是主動掛馬的色情等不良網站,也有可能是被黑客入侵篡改的正規網站);
其次,掛馬網頁中的惡意代碼通過堆噴射方式將nop指令和shellcode代碼組成的shellcode鏈佔領IE的堆內存地址,再利用『極光IE 0day漏洞』控制IE的程序流程跳轉到IE的堆內存地址范圍,從而使IE瀏覽器遠程執行堆內存中的shellcode;
接著,堆內存中的shellcode把黑客預先指定的木馬下載到受害網民電腦中,並將木馬運行起來,從而達到盜號、偷隱私、彈廣告等各種不法目的。
原來,掛馬網頁之所以能讓木馬等惡意程序偷偷侵入網民電腦,原因就在於『極光IE 0day漏洞』在特定條件下允許IE遠程執行任意代碼(shellcode)。針對漏洞的攻擊方式,360網盾(原『360網頁防火牆』的昇級模塊)通過組合策略實施多重攔截,從而對0day漏洞攻擊起到了有效的防御效果。即便在不使用『360臨時補丁』的情況下,目前網上也沒有一例『極光IE 0day漏洞』掛馬攻擊能夠突破360網盾的防御。
下面,就讓我們來看看,360網盾是如何通過五道防御體系,從容不迫地化解針對『極光IE 0day漏洞』的掛馬攻擊的:
第一道防御:360網盾能自動攔截已知的惡意網址(由360雲安全系統2.5億用戶共同嚴密監控);
第二道防御:如果網民誤點擊了未知的惡意網址,360網盾將自動運用腳本引擎攔截漏洞攻擊代碼中的靜態特征;
第三道防御:如果攻擊代碼繞過了第二道防御,360網盾會繼續攔截堆噴射的內存地址,保護漏洞不被觸發;
第四道防御:一旦漏洞被觸發,360網盾還能隨時攔截shellcode中用於下載木馬的關鍵函數;
第五道防御:一旦木馬已經被下載到用戶電腦中,360網盾會馬上攔截shellcode中用於運行木馬的關鍵函數。
360網盾已經整合了國內外領先的反惡意網頁防護功能,即便黑客挖掘出更多0day漏洞和漏洞攻擊方式,上述5道防御也能幫用戶抵御絕大多數來自掛馬等惡意網頁的木馬攻擊。以『極光IE 0day漏洞』攻擊為例,黑客可以變換掛馬網頁的網址,也可以改寫漏洞攻擊代碼的特征,甚至使用等效代碼繞過堆噴射攔截,但目前並沒有出現能夠繞過360網盾後兩層攔截環節的實例。
由於和360網盾使用了同類技術,360安全瀏覽器成為唯一不受『極光IE 0day漏洞』影響的IE內核瀏覽器。同時,為了徹底從根源上封堵該漏洞受攻擊的可能,並保護使用IE內核的其它第三方瀏覽器,360緊急發布了『極光IE 0day漏洞』臨時補丁。(部分360安全衛士版本的『網頁防火牆』功能僅支持對IE瀏覽器的保護)
需要再度明確的是,360臨時補丁是一種內存補丁(又稱為『熱補丁』),它是針對漏洞攔截了惡意的指針引用,使漏洞根本無從觸發,不會漏攔任何形式的漏洞攻擊,也不會誤攔正常的網頁,兼容性和穩定性也優於常規的安全防御功能,完全不會與微軟官方補丁衝突。
因此,與常規的網頁防護功能相比,360臨時補丁能夠100%徹底攔截『極光IE 0day漏洞』攻擊,360安全衛士用戶只要開啟360網盾(網頁防火牆),並安裝使用360臨時補丁,無論黑客如何改進漏洞攻擊方式,都能確保不會受到『極光IE 0day漏洞』的危害,相信這也是微軟提供漏洞補丁之前最為有效的解決方案。