|
近來,Google�����、Adobe����、Yahoo等數(shù)十家高科技企業(yè)被曝遭遇黑客襲擊。在人們看來�����,Google等公司的網(wǎng)絡(luò)安全防御理應(yīng)密不透風(fēng)�����,沒想到一個名為“極光”(Aurora)的IE 0day漏洞卻為黑客大開方便之門���。360安全中心近日宣稱,在微軟公司提供正式官方補丁前��,360安全衛(wèi)士提供的“360網(wǎng)盾+360臨時補丁”組合,是能夠100%攔截“極光”IE 0day漏洞攻擊的最佳安防�����。為了讓更多網(wǎng)民了解360是如何有效攔截針對該漏洞的攻擊的����,360安全工程師首次披露了相關(guān)技術(shù)細(xì)節(jié)。
第一步���,我們需要先了解一下�����,一個普通用戶在上網(wǎng)時是如何遭到針對該漏洞的攻擊的����?
首先�����,某網(wǎng)民使用IE瀏覽器或其它第三方的IE內(nèi)核瀏覽器���,訪問嵌入了“極光IE 0day漏洞”攻擊代碼的掛馬網(wǎng)頁(可能是主動掛馬的色情等不良網(wǎng)站��,也有可能是被黑客入侵篡改的正規(guī)網(wǎng)站)�;
其次,掛馬網(wǎng)頁中的惡意代碼通過堆噴射方式將nop指令和shellcode代碼組成的shellcode鏈占領(lǐng)IE的堆內(nèi)存地址����,再利用“極光IE 0day漏洞”控制IE的程序流程跳轉(zhuǎn)到IE的堆內(nèi)存地址范圍,從而使IE瀏覽器遠(yuǎn)程執(zhí)行堆內(nèi)存中的shellcode��;
接著��,堆內(nèi)存中的shellcode把黑客預(yù)先指定的木馬下載到受害網(wǎng)民電腦中�����,并將木馬運行起來��,從而達(dá)到盜號���、偷隱私、彈廣告等各種不法目的�。
原來,掛馬網(wǎng)頁之所以能讓木馬等惡意程序偷偷侵入網(wǎng)民電腦��,原因就在于“極光IE 0day漏洞”在特定條件下允許IE遠(yuǎn)程執(zhí)行任意代碼(shellcode)����。針對漏洞的攻擊方式��,360網(wǎng)盾(原“360網(wǎng)頁防火墻”的升級模塊)通過組合策略實施多重攔截��,從而對0day漏洞攻擊起到了有效的防御效果����。即便在不使用“360臨時補丁”的情況下�,目前網(wǎng)上也沒有一例“極光IE 0day漏洞”掛馬攻擊能夠突破360網(wǎng)盾的防御。
下面����,就讓我們來看看,360網(wǎng)盾是如何通過五道防御體系�,從容不迫地化解針對“極光IE 0day漏洞”的掛馬攻擊的:
第一道防御:360網(wǎng)盾能自動攔截已知的惡意網(wǎng)址(由360云安全系統(tǒng)2.5億用戶共同嚴(yán)密監(jiān)控);
第二道防御:如果網(wǎng)民誤點擊了未知的惡意網(wǎng)址�����,360網(wǎng)盾將自動運用腳本引擎攔截漏洞攻擊代碼中的靜態(tài)特征����;
第三道防御:如果攻擊代碼繞過了第二道防御,360網(wǎng)盾會繼續(xù)攔截堆噴射的內(nèi)存地址�,保護(hù)漏洞不被觸發(fā)����;
第四道防御:一旦漏洞被觸發(fā)����,360網(wǎng)盾還能隨時攔截shellcode中用于下載木馬的關(guān)鍵函數(shù);
第五道防御:一旦木馬已經(jīng)被下載到用戶電腦中����,360網(wǎng)盾會馬上攔截shellcode中用于運行木馬的關(guān)鍵函數(shù)。
360網(wǎng)盾已經(jīng)整合了國內(nèi)外領(lǐng)先的反惡意網(wǎng)頁防護(hù)功能�����,即便黑客挖掘出更多0day漏洞和漏洞攻擊方式��,上述5道防御也能幫用戶抵御絕大多數(shù)來自掛馬等惡意網(wǎng)頁的木馬攻擊���。以“極光IE 0day漏洞”攻擊為例���,黑客可以變換掛馬網(wǎng)頁的網(wǎng)址���,也可以改寫漏洞攻擊代碼的特征�,甚至使用等效代碼繞過堆噴射攔截,但目前并沒有出現(xiàn)能夠繞過360網(wǎng)盾后兩層攔截環(huán)節(jié)的實例���。
由于和360網(wǎng)盾使用了同類技術(shù)��,360安全瀏覽器成為唯一不受“極光IE 0day漏洞”影響的IE內(nèi)核瀏覽器���。同時,為了徹底從根源上封堵該漏洞受攻擊的可能��,并保護(hù)使用IE內(nèi)核的其它第三方瀏覽器�����,360緊急發(fā)布了“極光IE 0day漏洞”臨時補丁����。(部分360安全衛(wèi)士版本的“網(wǎng)頁防火墻”功能僅支持對IE瀏覽器的保護(hù))
需要再度明確的是,360臨時補丁是一種內(nèi)存補丁(又稱為“熱補丁”)���,它是針對漏洞攔截了惡意的指針引用����,使漏洞根本無從觸發(fā)����,不會漏攔任何形式的漏洞攻擊���,也不會誤攔正常的網(wǎng)頁,兼容性和穩(wěn)定性也優(yōu)于常規(guī)的安全防御功能����,完全不會與微軟官方補丁沖突。
因此��,與常規(guī)的網(wǎng)頁防護(hù)功能相比���,360臨時補丁能夠100%徹底攔截“極光IE 0day漏洞”攻擊���,360安全衛(wèi)士用戶只要開啟360網(wǎng)盾(網(wǎng)頁防火墻),并安裝使用360臨時補丁�����,無論黑客如何改進(jìn)漏洞攻擊方式����,都能確保不會受到“極光IE 0day漏洞”的危害,相信這也是微軟提供漏洞補丁之前最為有效的解決方案。
本文出自:億恩科技【xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
