圖說(shuō)：阿里安全新一代安全架構(gòu)核心技術(shù)成果被國(guó)際頂會(huì)NDSS2021收錄

自動(dòng)發(fā)現(xiàn)APT潛在攻擊

據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的相關(guān)報(bào)告，2019年，我國(guó)持續(xù)遭受來(lái)自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30余個(gè)APT組織的網(wǎng)絡(luò)竊密攻擊，國(guó)家網(wǎng)絡(luò)空間安全受到嚴(yán)重威脅，攻擊對(duì)象涉及我國(guó)重大基礎(chǔ)設(shè)施和關(guān)鍵政企單位。

 APT攻擊一般通過(guò)瀏覽器或者軟件漏洞獲取普通用戶權(quán)限，然后通過(guò)內(nèi)核漏洞來(lái)突破沙箱（軟件隔離環(huán)境）和提升權(quán)限，攻擊者在獲取了目標(biāo)機(jī)器上重要數(shù)據(jù)后，還會(huì)留下后門，長(zhǎng)期監(jiān)控攻擊目標(biāo)。

該論文第一作者、高級(jí)安全專家蒸米介紹，阿里安全獵戶座實(shí)驗(yàn)室提出的這套創(chuàng)新防御機(jī)制可以在攻擊者利用內(nèi)核漏洞時(shí)發(fā)現(xiàn)并攔截攻擊，幫助政企單位對(duì)抗APT攻擊，保護(hù)數(shù)據(jù)隱私信息。

根據(jù)公開的漏洞利用程序，攻擊者往往通過(guò)破壞某些內(nèi)核對(duì)象來(lái)控制內(nèi)核，阿里安全獵戶座實(shí)驗(yàn)室將這種類型的攻擊技術(shù)概括為POP攻擊。PUSH會(huì)自動(dòng)定位macOS系統(tǒng)內(nèi)核中易被攻擊的區(qū)域，找到攻擊者采用的破壞途徑，匹配合適的修復(fù)方法?！霸谡麄€(gè)定位與修復(fù)過(guò)程中，PUSH會(huì)將‘容易出現(xiàn)問(wèn)題的內(nèi)核部分’引流到檢測(cè)模塊，相當(dāng)于構(gòu)建旁路，不會(huì)影響蘋果系統(tǒng)的正常運(yùn)轉(zhuǎn)。”蒸米說(shuō)。

圖說(shuō)：遇到攻擊時(shí)PUSH的防護(hù)路徑

2018年蒸米將這項(xiàng)研究同步了蘋果的安全部門。蘋果公司對(duì)這一發(fā)現(xiàn)表達(dá)了感謝，并表示將在蘋果系統(tǒng)中加入相關(guān)防護(hù)機(jī)制，保護(hù)系統(tǒng)和用戶的安全。

普通macOS用戶亦面臨安全風(fēng)險(xiǎn)

2019年8月，谷歌安全團(tuán)隊(duì)在發(fā)現(xiàn)了針對(duì)普通iPhone用戶的惡意網(wǎng)站，這些網(wǎng)站能夠控制受害iPhone用戶的手機(jī)，而這些惡意網(wǎng)站正是在利用了“POP”攻擊手段對(duì)系統(tǒng)內(nèi)核進(jìn)行破壞后才達(dá)到了攻擊目的。

同樣的攻擊手段可能發(fā)生在macOS等其他蘋果系統(tǒng)當(dāng)中，普通macOS用戶也面臨同樣的安全風(fēng)險(xiǎn)。

“通過(guò)部署PUSH防御機(jī)制，我們能夠有效地發(fā)現(xiàn)這種攻擊手段，甚至發(fā)現(xiàn)通過(guò)未知漏洞開展的黑客攻擊，及時(shí)保護(hù)用戶的系統(tǒng)安全。”該論文共同作者、安全專家白小龍?zhí)嵝训馈USH已經(jīng)梳理了多種常見的漏洞利用路徑和修復(fù)方法，黑客很難繞開這些路徑。所以，即使黑客利用未知漏洞展開這種針對(duì)內(nèi)核的攻擊，PUSH防御機(jī)制也能發(fā)現(xiàn)并快速修復(fù)漏洞。

據(jù)阿里安全獵戶座實(shí)驗(yàn)室負(fù)責(zé)人杭特介紹，目前阿里已將該防御機(jī)制部署在各種設(shè)備中，針對(duì)Windows的相關(guān)內(nèi)核防御機(jī)制也已就緒。

阿里安全資深安全專家、辦公安全負(fù)責(zé)人自化表示，該成果應(yīng)用在阿里自身辦公網(wǎng)的云管端防御體系，是為了讓阿里的辦公環(huán)境默認(rèn)免疫此類攻擊行為，處于更安全的環(huán)境，也從源頭保護(hù)用戶信息安全。“另外，我們也在通過(guò)PUSH發(fā)現(xiàn)的在野漏洞積極推進(jìn)廠商修復(fù)，改善用戶網(wǎng)絡(luò)安全環(huán)境?！弊曰f(shuō)。

zhangnn