您当前的位置: 首页 > 游戏

360工程师详解360如何完美拦截极光Iiyiou.com

2019-03-11 17:08:33

360工程师详解:360如何完美拦截极光IE漏洞攻击

近来,Google、Adobe、Yahoo等数十家高科技企业被曝遭遇黑客袭击。在人们看来,Google等公司的络安全防御理应密不透风,没想到一个名为“极光”(Aurora)的IE 0day漏洞却为黑客大开方便之门。360安全中心近日宣称,在微软公司提供正式官方补丁前,360安全卫士提供的“360盾+360临时补丁”组合,是能够100%拦截“极光”IE 0day漏洞攻击的安防。为了让更多民了解360是如何有效拦截针对该漏洞的攻击的,360安全可能大家都有切身体会工程师首次披露了相关技术细节。

步,我们需要先了解一下,一个普通用户在上时是如何遭到针对该漏洞的攻击的?

首先,某民使用IE浏览器或其它第三方的IE内核浏览器,访问嵌入了“极光IE 0day漏洞”攻击代码的挂马页(可能是主动挂马的色情等不良站,也有可能是被黑客入侵篡改的正规站);

其次,挂马页中的恶意代码通过堆喷射方式将nop指令和shellcode代码组成的shellcode链占领IE的堆内存地址,再利用“极光 IE 0day漏洞”控制IE的程序流程跳转到IE的堆内存地址范围,从而使IE浏览器远程执行堆内存中的shellcode;

接着,堆内存中的shellcode把黑客预先指定的木马下载到受害民电脑中,并将木马运行起来,从而达到盗号、偷隐私、弹广告等各种不法目的。

原来,挂马页之所以能让木马等恶意程序偷偷侵入民电脑,原因就在于“极光 IE 0day漏洞”在特定条件下允许IE远程执行任意代码(浸于秋霜shellcode)。针对漏洞的攻击方式,360盾(原“360页防火墙”的升级模块)通过组合策略实施多重拦截,从而对0day漏洞攻击起到了有效的防御效果。即便在不使用“360临时补丁”的情况下,目前上也没有一例“极光 IE 0day漏洞”挂马攻击能够等晚一点再浇突破360盾的防御。

下面,就让我们来看看,360盾是如何通过五道防御体系,从容不迫地化解针对“极光 IE 0day漏洞”的挂马攻击的:

道防御:360盾能自动拦截已知的恶意址(由360云安全系统2.5亿用户共同严密监控);

第二道防御:如果民误点击了未知的恶意址,360盾将自动运用脚本引擎拦截漏洞攻击代码中的静态特征;

第三道防御:如果攻击代码绕过了第二道防御,360盾会继续拦截堆喷射的内存地址,保护漏洞不被触发;

第四道防御:一旦漏洞被触发,360盾还能随时拦截shellcode中用于下载木马的关键函数;

第五道防御:一旦木马已经被下载到用户电脑中,360盾会马上拦截shellcode中用于运行木马的关键函数。

360盾已经整合了国内外的反恶意页防护功能,即便黑客挖掘出更多0day漏洞和漏洞攻击方式,上述5道防御也能帮用户抵御绝大多数来自挂马等恶意页的木马攻击。以“极光IE 0day漏洞”攻击为例,黑客可以变换挂马页的址,也可以改写漏洞攻击代码的特征,甚至使用等效代码绕过堆喷射拦截,但目前并没有出现能够绕过360盾后两层拦截环节的实例。

由于和360盾使用了同类技术,360安全浏览器成为不受“极光IE 0day漏洞”影响的IE内核浏览器。同时,为了彻底从根源上封堵该漏洞受攻击的可能,并保护使用IE内核的其它第三方浏览器,360紧急发布了“极光IE 0day漏洞”临时补丁。(部分360安全卫士版本的“页防火墙”功能仅支持对IE浏览器的保护)

需要再度明确的是,

360临时补丁是一种内存补丁(又称为“热补丁”),它是针对漏洞拦截了恶意的指针引用,使漏洞根本无从触发,不会漏拦任何形式的漏洞攻击,也不会误拦正常的页,兼容性和稳定性也优于常规的安全防御功能,完全不会与微软官方补丁冲突。

因此,与常规的页防护功能相比,360临时补丁能够100%彻底拦截“极光IE 0day漏洞”攻击,360安全卫士用户只要开启360盾(页防火墙),并安装使用360临时补丁,无论黑客如何改进漏洞攻击方式,都能确保不会受到“极光IE 0day漏洞”的危害,相信这也是微软提供漏洞补丁之前为有效的解决方案。

2014年台湾社区战略投资企业
2015年绍兴生鲜食品种子轮企业
深圳市金融办
推荐阅读
图文聚焦