“兵不厭詐”?漏洞還是那些漏洞,攻擊技術卻層出不窮
責編:gltian |2021-07-21 10:03:46如今每天都能發現超過55萬個新的惡意軟件樣本,企業如何避免系統漏洞暴露在這些網絡威脅中成為了工作中的重中之重。盡管如此,許多人仍然讓自己暴露在了風險之中。
0day攻擊的漏洞利用讓人比較頭疼,因為軟件供應商也沒有漏洞補丁。谷歌的一項研究顯示,2020年有24個零日漏洞遭攻擊者利用。同時,至少80%的攻擊利用了三年前報告披露的漏洞。
許多軟件漏洞以復雜的方式隱藏,如果企業依賴普通的網絡安全解決方案,則很難檢測到它們。有效檢測漏洞利用需要深入的系統知識和對所有應用程序的持續監控,包括漏洞利用預防功能的先進的下一代網絡保護解決方案。
漏洞利用防護原理
雖然每天都會出現成百上千的新惡意軟件樣本,但犯罪分子只能使用少數技術來利用軟件漏洞,而且其中大部分都與某種類型的隨機存取存儲器 (RAM) 操作有關。通常,犯罪分子會將一些漏洞利用技術和惡意軟件分發連接在一起。這意味著企業的網絡安全解決方案必須能夠檢測并防護多種多樣的漏洞利用技術。
本文總結了五種常見漏洞利用技術,為企業系統和數據安全防護提供參考。
1、返回導向編程保護
數據執行保護 (DEP)是一種系統級內存保護功能,從Windows XP開始就內置于 Windows 操作系統中。它使系統能夠將一頁或多頁內存標記為不可執行。從一開始,犯罪分子就嘗試繞過DEP,并且他們已經使用不同的技術成功地繞過了一段時間,其中一種技術就是返回導向編程 (ROP)。
網絡犯罪分子使用ROP鏈(來自現有合法代碼部分的一小段)來構建工作代碼。這些小段代碼是通過返回指令調用的,在某些時候,犯罪分子會調用WinAPI函數。應用程序的堆棧是一個包含內存地址位置(返回地址)列表的內存區域。如果WinAPI函數沒有用call指令調用,則堆棧上的返回地址將是錯誤的。
當系統找不到呼叫指令時,更為有效的網絡保護解決方案將終止ROP攻擊。
2、內存操作
犯罪分子通過在返回導向編程攻擊中鏈接ROP小工具,使用堆棧透視來繞過DEP等保護措施。通過堆棧旋轉,攻擊可以從真實堆棧轉向新的虛假堆棧,該堆棧是攻擊者可以控制的緩沖區,例如堆,可以從堆控制未來的程序執行流程。
雖然Windows提供導出地址過濾 (EAF),但下一代網絡安全解決方案可以提供訪問過濾器,防止通過代碼讀取Windows可執行文件 (PE) 標頭和導出/導入表,使用特殊保護標志來保護內存區域。訪問過濾器還應支持許可名單,以便根據需要調整啟發式方案。
3、代碼注入保護
網絡犯罪分子擅長利用以下幾種代碼注入技術開展攻擊。
(1)進程鏤空是其中一種,其中受信任的應用程序(例如explorer.exe或svchost.exe)以掛起狀態加載到系統上,充當惡意代碼的容器。由于一個鏤空進程是在掛起狀態下創建的,它的內存被取消映射并被惡意代碼替換。惡意代碼的執行在合法進程下被掩蓋,通常會繞過普通的安全產品的防御和檢測分析。
(2)另一種稱為反射動態鏈接庫 (DLL) 加載的技術,加載DLL時發生在內存而非磁盤。Windows沒有支持此功能的LoadLibrary函數,因此如果用戶懷疑遭惡意使用,可以檢查并阻止它。
(3)Early Bird代碼注入技術利用了程序在計算機上執行時發生的應用程序線程處理過程。在許多安全產品放置hook之前,它會在線程初始化的早期階段加載惡意代碼。這允許惡意軟件在不被檢測到的情況下執行其惡意操作。Windows的早期啟動反惡意軟件 (ELAM) 技術可用于幫助檢測和防止采用這種方法的攻擊。
(4)異步過程調用 (APC)是一種Windows功能,可以將線程從其常規執行路徑轉移并引導它執行其他操作。APC最重要的一點是,當它被調度時,它是針對特定線程的。攻擊者可以注入該調用并使用它來運行惡意代碼。
因此,先進的下一代網絡安全解決方案可以在暫停模式下檢測進程中的注入,這會清空原始內存并阻止受影響的進程。
4、提權保護
Windows中的進程有一個所謂的安全標識符 (SID)。SID是可變長度的唯一值,用于標識安全主體(例如安全組)。
當父進程創建子進程時,子進程繼承SID。這需要在應用程序加載期間進行檢查,因為用戶可從中發現惡意活動。在流程執行期,SID不能被更改。對于敏感功能,漏洞利用防護軟件也會檢查SID在執行過程中是否保持不變。
例如,如果攻擊者想要將CreateProcessWithToken函數與來自另一個進程的安全令牌(可能被預先竊取)一起使用,則將提取SID并根據當前進程進行檢查。如果沒有匹配項,它將發出警報并阻止該進程。
5、防御規避保護
許多先進的下一代網絡安全解決方案在敏感的API函數上設置hook,以在允許內核提供請求服務之前進行攔截和執行檢查,例如防病毒掃描。犯罪分子可以充分利用這一功能“監控敏感功能”,通過以偏移量調用不受監控、非敏感的函數(故意解決重要的內核服務),以逃避安全軟件的檢測。因此,先進的下一代網絡安全解決方案可以防止攻擊者通過未受保護的API函數訪問敏感的內核函數。
漏洞利用防護是一種防護作用較小的技術和啟發式方法,但它們是任何多層安全計劃的關鍵部分——尤其是針??對0day漏洞的復雜網絡攻擊。無論是最近發現的漏洞利用還是現有的、未修補的漏洞,只需一次攻擊即可導致災難性的數據丟失并可能摧毀用戶業務。
參考來源
Understanding and stopping 5 popular cybersecurity exploitation techniques
來源:FreeBuf.COM