360工程師詳解：360如何攔截極光IE漏洞攻擊

　　第一步，我們需要先了解一下，一個普通用戶在上網(wǎng)時是如何遭到針對該漏洞的攻擊的？

　　首先，某網(wǎng)民使用IE瀏覽器或其它第三方的IE內(nèi)核瀏覽器，訪問嵌入了“極光IE 0day漏洞”攻擊代碼的掛馬網(wǎng)頁(可能是主動掛馬的色情等不良網(wǎng)站，也有可能是被黑客入侵篡改的正規(guī)網(wǎng)站)；

　　其次，掛馬網(wǎng)頁中的惡意代碼通過堆噴射方式將nop指令和shellcode代碼組成的shellcode鏈占領(lǐng)IE的堆內(nèi)存地址，再利用“極光IE 0day漏洞”控制IE的程序流程跳轉(zhuǎn)到IE的堆內(nèi)存地址范圍，從而使IE瀏覽器遠程執(zhí)行堆內(nèi)存中的shellcode；

　　接著，堆內(nèi)存中的shellcode把黑客預(yù)先指定的木馬下載到受害網(wǎng)民電腦中，并將木馬運行起來，從而達到盜號、偷隱私、彈廣告等各種不法目的。

　　原來，掛馬網(wǎng)頁之所以能讓木馬等惡意程序偷偷侵入網(wǎng)民電腦，原因就在于“極光IE 0day漏洞”在特定條件下允許IE遠程執(zhí)行任意代碼(shellcode)。針對漏洞的攻擊方式，360網(wǎng)盾(原“360網(wǎng)頁防火墻”的升級模塊)通過組合策略實施多重攔截，從而對0day漏洞攻擊起到了有效的防御效果。即便在不使用“360臨時補丁”的情況下，目前網(wǎng)上也沒有一例“極光IE 0day漏洞”掛馬攻擊能夠突破360網(wǎng)盾的防御。

　　下面，就讓我們來看看，360網(wǎng)盾是如何通過五道防御體系，從容不迫地化解針對“極光IE 0day漏洞”的掛馬攻擊的：

　　第一道防御：360網(wǎng)盾能自動攔截已知的惡意網(wǎng)址(由360云安全系統(tǒng)2.5億用戶共同嚴密監(jiān)控)；

　　第二道防御：如果網(wǎng)民誤點擊了未知的惡意網(wǎng)址，360網(wǎng)盾將自動運用腳本引擎攔截漏洞攻擊代碼中的靜態(tài)特征；

　　第三道防御：如果攻擊代碼繞過了第二道防御，360網(wǎng)盾會繼續(xù)攔截堆噴射的內(nèi)存地址，保護漏洞不被觸發(fā)；

　　第四道防御：一旦漏洞被觸發(fā)，360網(wǎng)盾還能隨時攔截shellcode中用于下載木馬的關(guān)鍵函數(shù)；

　　第五道防御：一旦木馬已經(jīng)被下載到用戶電腦中，360網(wǎng)盾會馬上攔截shellcode中用于運行木馬的關(guān)鍵函數(shù)。

　　360網(wǎng)盾已經(jīng)整合了國內(nèi)外領(lǐng)先的反惡意網(wǎng)頁防護功能，即便黑客挖掘出更多0day漏洞和漏洞攻擊方式，上述5道防御也能幫用戶抵御絕大多數(shù)來自掛馬等惡意網(wǎng)頁的木馬攻擊。以“極光IE 0day漏洞”攻擊為例，黑客可以變換掛馬網(wǎng)頁的網(wǎng)址，也可以改寫漏洞攻擊代碼的特征，甚至使用等效代碼繞過堆噴射攔截，但目前并沒有出現(xiàn)能夠繞過360網(wǎng)盾后兩層攔截環(huán)節(jié)的實例。

　　由于和360網(wǎng)盾使用了同類技術(shù)，360安全瀏覽器成為唯一不受“極光IE 0day漏洞”影響的IE內(nèi)核瀏覽器。同時，為了徹底從根源上封堵該漏洞受攻擊的可能，并保護使用IE內(nèi)核的其它第三方瀏覽器，360緊急發(fā)布了“極光IE 0day漏洞”臨時補丁。(部分360安全衛(wèi)士版本的“網(wǎng)頁防火墻”功能僅支持對IE瀏覽器的保護)

　　需要再度明確的是，360臨時補丁是一種內(nèi)存補丁(又稱為“熱補丁”)，它是針對漏洞攔截了惡意的指針引用，使漏洞根本無從觸發(fā)，不會漏攔任何形式的漏洞攻擊，也不會誤攔正常的網(wǎng)頁，兼容性和穩(wěn)定性也優(yōu)于常規(guī)的安全防御功能，完全不會與微軟官方補丁沖突。

　　因此，與常規(guī)的網(wǎng)頁防護功能相比，360臨時補丁能夠100%徹底攔截“極光IE 0day漏洞”攻擊，360安全衛(wèi)士用戶只要開啟360網(wǎng)盾(網(wǎng)頁防火墻)，并安裝使用360臨時補丁，無論黑客如何改進漏洞攻擊方式，都能確保不會受到“極光IE 0day漏洞”的危害，相信這也是微軟提供漏洞補丁之前最為有效的解決方案。
 

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]