|
2016年�,蘋果被曝史上最大iOS漏洞“三叉戟”,只要點(diǎn)擊一個鏈接��,攻擊者就可通過該漏洞獲得蘋果系統(tǒng)內(nèi)核的最高權(quán)限����。后來,該漏洞被發(fā)現(xiàn)用于針對特定目標(biāo)的真實(shí)APT(高級可持續(xù)威脅攻擊)行動中,嚴(yán)重危害用戶安全�����。 為了提升用戶系統(tǒng)安全����,保護(hù)數(shù)據(jù)隱私,阿里安全獵戶座實(shí)驗(yàn)室總結(jié)了一類業(yè)界流行的針對于蘋果系統(tǒng)(如iOS和macOS)內(nèi)核的攻擊方式�����,并首次提出了一套基于macOS內(nèi)核的防御機(jī)制“PUSH”��。這項(xiàng)由阿里安全研發(fā)的新一代安全架構(gòu)核心技術(shù)可自動保護(hù)“潛在受害”的蘋果系統(tǒng)��,有效對抗業(yè)界公開的18個漏洞利用程序�����,并且發(fā)現(xiàn)了1例零日漏洞攻擊�����。最近���,該研究被國際四大安全頂會之一的NDSS2021收錄�����。 圖說:阿里安全新一代安全架構(gòu)核心技術(shù)成果被國際頂會NDSS2021收錄 自動發(fā)現(xiàn) APT潛在攻擊 據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的相關(guān)報告�����,2019年���,我國持續(xù)遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30余個APT組織的網(wǎng)絡(luò)竊密攻擊����,國家網(wǎng)絡(luò)空間安全受到嚴(yán)重威脅����,攻擊對象涉及我國重大基礎(chǔ)設(shè)施和關(guān)鍵政企單位。 APT攻擊一般通過瀏覽器或者軟件漏洞獲取普通用戶權(quán)限�����,然后通過內(nèi)核漏洞來突破沙箱(軟件隔離環(huán)境)和提升權(quán)限����,攻擊者在獲取了目標(biāo)機(jī)器上重要數(shù)據(jù)后,還會留下后門�����,長期監(jiān)控攻擊目標(biāo)�����。 該論文第一作者�、高級安全專家蒸米介紹,阿里安全獵戶座實(shí)驗(yàn)室提出的這套創(chuàng)新防御機(jī)制可以在攻擊者利用內(nèi)核漏洞時發(fā)現(xiàn)并攔截攻擊���,幫助政企單位對抗APT攻擊�,保護(hù)數(shù)據(jù)隱私信息�����。 根據(jù)公開的漏洞利用程序�,攻擊者往往通過破壞某些內(nèi)核對象來控制內(nèi)核,阿里安全獵戶座實(shí)驗(yàn)室將這種類型的攻擊技術(shù)概括為POP攻擊��。PUSH會自動定位macOS系統(tǒng)內(nèi)核中易被攻擊的區(qū)域�����,找到攻擊者采用的破壞途徑,匹配合適的修復(fù)方法�。“在整個定位與修復(fù)過程中��,PUSH會將‘容易出現(xiàn)問題的內(nèi)核部分’引流到檢測模塊�,相當(dāng)于構(gòu)建旁路,不會影響蘋果系統(tǒng)的正常運(yùn)轉(zhuǎn)���?��!闭裘渍f。 圖說:遇到攻擊時PUSH的防護(hù)路徑 2018年蒸米將這項(xiàng)研究同步了蘋果的安全部門����。蘋果公司對這一發(fā)現(xiàn)表達(dá)了感謝,并表示將在蘋果系統(tǒng)中加入相關(guān)防護(hù)機(jī)制���,保護(hù)系統(tǒng)和用戶的安全�����。 普通 macOS 用戶亦面臨安全風(fēng)險 2019年8月,谷歌安全團(tuán)隊(duì)在發(fā)現(xiàn)了針對普通iPhone用戶的惡意網(wǎng)站����,這些網(wǎng)站能夠控制受害iPhone用戶的手機(jī)�����,而這些惡意網(wǎng)站正是在利用了“POP”攻擊手段對系統(tǒng)內(nèi)核進(jìn)行破壞后才達(dá)到了攻擊目的����。 同樣的攻擊手段可能發(fā)生在macOS等其他蘋果系統(tǒng)當(dāng)中��,普通macOS用戶也面臨同樣的安全風(fēng)險�。 “通過部署PUSH防御機(jī)制,我們能夠有效地發(fā)現(xiàn)這種攻擊手段��,甚至發(fā)現(xiàn)通過未知漏洞開展的黑客攻擊�����,及時保護(hù)用戶的系統(tǒng)安全�。”該論文共同作者�、安全專家白小龍?zhí)嵝训馈USH已經(jīng)梳理了多種常見的漏洞利用路徑和修復(fù)方法�,黑客很難繞開這些路徑。所以��,即使黑客利用未知漏洞展開這種針對內(nèi)核的攻擊,PUSH防御機(jī)制也能發(fā)現(xiàn)并快速修復(fù)漏洞�。 據(jù)阿里安全獵戶座實(shí)驗(yàn)室負(fù)責(zé)人杭特介紹,目前阿里已將該防御機(jī)制部署在各種設(shè)備中�,針對Windows的相關(guān)內(nèi)核防御機(jī)制也已就緒。 阿里安全資深安全專家�����、辦公安全負(fù)責(zé)人自化表示�����,該成果應(yīng)用在阿里自身辦公網(wǎng)的云管端防御體系����,是為了讓阿里的辦公環(huán)境默認(rèn)免疫此類攻擊行為,處于更安全的環(huán)境�����,也從源頭保護(hù)用戶信息安全��?!傲硗猓覀円苍谕ㄟ^PUSH發(fā)現(xiàn)的在野漏洞積極推進(jìn)廠商修復(fù),改善用戶網(wǎng)絡(luò)安全環(huán)境���。”自化說�����。 來源:國際在線
|
