國際評測排第一 深度揭秘360XP盾甲“堅挺”之謎
責編:admin |2014-04-24 10:55:22 近日,亞洲知名安全咨詢公司COSEINC發布了一份XP防護評測報告,檢驗安全軟件能否有效保護失去微軟支持的XP系統。參與測試的包括Avast、AVG、Avira、Bitdefender、Kaspersky以及來自中國的360安全衛士、金山毒霸以及騰訊電腦管家等八款主流的安全軟件,360安全衛士“XP盾甲”以100%的漏洞攔截率排名第一,遠遠超出63.3%的平均水平。
在不久前國內進行的“XP挑戰賽”中,360安全衛士“XP盾甲”同樣是唯一沒有被黑客攻破的安全產品。為什么360的XP盾甲相比其他安全軟件更堅固?為了解釋這個疑問,我們聯系了360攻防實驗室研究人員,從技術解析、防護理念以及產品策略等維度,全面剖析360XP盾甲如何有效保護沒有補丁的XP系統。
沙箱不是萬能的,沒有沙箱是萬萬不能的
一些廠商曾表示XP挑戰賽的“起點不公”,稱自己的產品沒有沙箱所以會被攻破。對此360董事長周鴻祎微博曾回應道:“此言論真可笑,沙箱是基礎安全技術,不具備沙箱的安全產品就是殘次品,就像汽車撞擊安全比賽氣囊本是標配,有的車技術差壓根沒裝氣囊,輸掉比賽卻反咬有氣囊的車不該裝氣囊,這不是忽悠用戶么”。
國際評測排第一 深度揭秘360XP盾甲“堅挺”之謎 國際評測排第一 深度揭秘360XP盾甲“堅挺”之謎
沒有沙箱,就像汽車沒有安全氣囊
據介紹,蘋果iOS之所以安全,就是因為每個應用程序都運行在自己獨立的沙箱中,不同應用間相互隔離,對操作系統上的敏感數據訪問也被限制。Google Chrome,還有新版Adobe的PDF Reader等都引入了沙箱,這樣即使黑客通過網頁或者文檔成功利用漏洞并執行一些危險操作,這些操作過程也是被困在沙箱中的,無法對系統造成進一步損害。
安揚也認為,“有沙箱并不一定絕對安全,沙箱也可能被黑客利用系統內核漏洞穿透,但沒有沙箱一定不是合格的安全軟件。”在XP挑戰賽上,360XP盾甲的隔離沙箱之所以沒有被黑客攻破,除了沙箱實現相對完善以外,還因為有系統加固引擎對內核漏洞的保護,對沙箱形成了強有力的基礎保障。
不過,XP系統上實現完整的沙箱防護其實并不容易。沙箱需要很多系統底層支持,但Windows平臺很多安全機制都是Vista之后加入的,也就是說,在XP上實現完整的沙箱防護要先幫微軟補全“地基”,這比在Win7、Win8中實現沙箱防護要困難得多,對安全廠商的技術也是個考驗。而在XP挑戰賽的三款產品中,只有360XP盾甲實現了沙箱防護。
360XP盾甲為XP系統提供安全“大補丸”
前面說到,Windows 操作系統具備的安全特性及防護技術,是隨著操作系統的發展而不斷進化和增強的。XP相比Win8.1就缺少了很多安全特性,這些安全特性能夠很好的提升操作系統的安全性,使得操作系統不容易受到漏洞的攻擊和影響。而360XP盾甲恰恰為XP補全了這些安全特性,全面應用在系統加固引擎和應用加固引擎中,讓XP和IE6-8、Office2003這些失去微軟安全更新支持的系統和軟件更為堅固。
對于XP盾甲提供的安全防護技術,安揚進行了全方位的介紹:
1、DEP數據執行保護,這個安全特性使得攻擊者存儲在數據中的惡意代碼無法執行,雖然XP SP2內核開始支持此特性,但是默認只對系統程序開啟,且可以很容易地通過ret2lib的方式被惡意程序關閉,在新的操作系統中默認是不允許關閉的;
2、ASLR地址隨機化,Vista開始支持此機制, 這個安全特性使得攻擊者編寫的惡意代碼無法在用戶系統上運行;
3、SEHOP,XP SP2就有了,但那時系統的很多庫還不支持safeseh編譯,所以直到vista才算真正有作用。它的作用是對SEH鏈條的完整性做防護和檢查,防止通過覆蓋SEH執行惡意代碼;
4、Security cookie:用于防止棧溢出執行惡意代碼,Win系統在Win8之前security cookie的隨機數熵質量較低,且和模塊加載時間相關,隨機性不強,Security cookie+在模塊加載時增強其cookie的熵質量,Win8開始有類似機制;
5、memory alsr:在內存中制造空洞,隨機化內存分配,可以對抗heap spray,UAF漏洞利用等;
6、Null page protection:針對空指針引用型的內核漏洞做防御 Win8開始系統加入此機制;
7、anti stack pivot:防止通過ROP(面向返回的編程方式,用于對抗DEP)切換堆棧, Win8開發者預覽版中曾加入,正式版本中取消;
8、vdm block:阻止調用存在大量漏洞的vdm組件, Win8開始加入;
9、KALSR:內核地址隨機化,阻止用戶態獲取內核地址信息,防止內核漏洞攻擊, Win8.1開始對ie,metro app加入;
10、anti-rop:防止ROP方式繞過DEP執行惡意代碼。
360XP盾甲的這些安全特性加固了XP系統以及Office、IE瀏覽器的安全性弱點。同時可以看到,anti stack pivot和anti-rop這樣的安全特性,在最新的Win8.1和蘋果操作系統也不具備。可以說,在安裝360XP盾甲后,XP系統相當于吃了一劑安全“大補丸”,再有漏洞黑客也難以利用。
業內知名技術大牛TK(tombkeeper)這樣評價:“測試了360盾甲2.0,也就是此次XP挑戰賽使用的版本。IE漏洞比之前更難利用,要使用很多技巧。內核保護上也有很多改進,連我當年的絕技NtSystemDebugControl都考慮到了。對內核漏洞也做了不少防御,但仍有沒照顧到的地方。”
正如TK的評價,360XP盾甲在內核和應用軟件保護上都有了很高的防護強度,但任何安全產品都難以避免會出現防護的短板。對此,360“補天”引擎則成為一道更靈活機動的防御屏障。
熱補丁“補天引擎”成為機動保障部隊
除沙箱和加固引擎外,熱補丁(hotfix)也是360XP盾甲的重要組成部分。提到熱補丁,暴雪的游戲玩家們其實都不陌生,就是在線修正,游戲不中斷,服務器不維護,游戲中的一個bug就被修正了。而熱補丁這種方式,也被應用在防御黑客漏洞攻擊中。
360XP盾甲的“補天熱補丁引擎”作為快速響應機制,能夠在不修改操作系統文件的前提下,針對漏洞的原因進行快速修復,快速部署和應用防護方案。
也就是說,當一個XP漏洞出現時,360能夠第一時間研究并制作出防御方案,并通過XP盾甲使XP用戶獲得防御能力。迄今為止,360已經為微軟0day漏洞提供過20個熱補丁。
有了沙箱隔離防護、應用加固、系統加固和熱補丁“補天”,可以說,360XP盾甲的四大引擎已經組合成難以突破的縱深防御體系。從防護技術的應用來看,360XP盾甲也是國內唯一真正具備未知漏洞防護能力的安全產品。