圖說:阿里安全新一代安全架構核心技術成果被國際頂會NDSS2021收錄
自動發(fā)現(xiàn)APT潛在攻擊
據國家互聯(lián)網應急中心發(fā)布的相關報告,2019年,我國持續(xù)遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30余個APT組織的網絡竊密攻擊���,國家網絡空間安全受到嚴重威脅��,攻擊對象涉及我國重大基礎設施和關鍵政企單位���。
APT攻擊一般通過瀏覽器或者軟件漏洞獲取普通用戶權限�����,然后通過內核漏洞來突破沙箱(軟件隔離環(huán)境)和提升權限��,攻擊者在獲取了目標機器上重要數據后����,還會留下后門����,長期監(jiān)控攻擊目標�����。
該論文第一作者、高級安全專家蒸米介紹���,阿里安全獵戶座實驗室提出的這套創(chuàng)新防御機制可以在攻擊者利用內核漏洞時發(fā)現(xiàn)并攔截攻擊�����,幫助政企單位對抗APT攻擊��,保護數據隱私信息�����。
根據公開的漏洞利用程序�,攻擊者往往通過破壞某些內核對象來控制內核����,阿里安全獵戶座實驗室將這種類型的攻擊技術概括為POP攻擊。PUSH會自動定位macOS系統(tǒng)內核中易被攻擊的區(qū)域���,找到攻擊者采用的破壞途徑�����,匹配合適的修復方法����。“在整個定位與修復過程中���,PUSH會將‘容易出現(xiàn)問題的內核部分’引流到檢測模塊����,相當于構建旁路�����,不會影響蘋果系統(tǒng)的正常運轉��?����!闭裘渍f�。
圖說:遇到攻擊時PUSH的防護路徑
2018年蒸米將這項研究同步了蘋果的安全部門。蘋果公司對這一發(fā)現(xiàn)表達了感謝�����,并表示將在蘋果系統(tǒng)中加入相關防護機制���,保護系統(tǒng)和用戶的安全�。
普通macOS用戶亦面臨安全風險
2019年8月���,谷歌安全團隊在發(fā)現(xiàn)了針對普通iPhone用戶的惡意網站��,這些網站能夠控制受害iPhone用戶的手機���,而這些惡意網站正是在利用了“POP”攻擊手段對系統(tǒng)內核進行破壞后才達到了攻擊目的。
同樣的攻擊手段可能發(fā)生在macOS等其他蘋果系統(tǒng)當中�,普通macOS用戶也面臨同樣的安全風險。
“通過部署PUSH防御機制����,我們能夠有效地發(fā)現(xiàn)這種攻擊手段,甚至發(fā)現(xiàn)通過未知漏洞開展的黑客攻擊���,及時保護用戶的系統(tǒng)安全�?��!痹撜撐墓餐髡?�、安全專家白小龍?zhí)嵝训?�。PUSH已經梳理了多種常見的漏洞利用路徑和修復方法�����,黑客很難繞開這些路徑�����。所以��,即使黑客利用未知漏洞展開這種針對內核的攻擊����,PUSH防御機制也能發(fā)現(xiàn)并快速修復漏洞。
據阿里安全獵戶座實驗室負責人杭特介紹�,目前阿里已將該防御機制部署在各種設備中,針對Windows的相關內核防御機制也已就緒��。
阿里安全資深安全專家����、辦公安全負責人自化表示,該成果應用在阿里自身辦公網的云管端防御體系,是為了讓阿里的辦公環(huán)境默認免疫此類攻擊行為����,處于更安全的環(huán)境,也從源頭保護用戶信息安全�?!傲硗猓覀円苍谕ㄟ^PUSH發(fā)現(xiàn)的在野漏洞積極推進廠商修復�����,改善用戶網絡安全環(huán)境��?����!弊曰f����。
