|
近來,Google�、Adobe�、Yahoo等數十家高科技企業被曝遭遇黑客襲擊。在人們看來�,Google等公司的網絡安全防御理應密不透風,沒想到一個名為“極光”(Aurora)的IE 0day漏洞卻為黑客大開方便之門����。360安全中心近日宣稱,在微軟公司提供正式官方補丁前,360安全衛士提供的“360網盾+360臨時補丁”組合,是能夠100%攔截“極光”IE 0day漏洞攻擊的最佳安防��。為了讓更多網民了解360是如何有效攔截針對該漏洞的攻擊的�����,360安全工程師首次披露了相關技術細節��。
第一步,我們需要先了解一下,一個普通用戶在上網時是如何遭到針對該漏洞的攻擊的�����?
首先�����,某網民使用IE瀏覽器或其它第三方的IE內核瀏覽器�,訪問嵌入了“極光IE 0day漏洞”攻擊代碼的掛馬網頁(可能是主動掛馬的色情等不良網站�����,也有可能是被黑客入侵篡改的正規網站)����;
其次��,掛馬網頁中的惡意代碼通過堆噴射方式將nop指令和shellcode代碼組成的shellcode鏈占領IE的堆內存地址��,再利用“極光IE 0day漏洞”控制IE的程序流程跳轉到IE的堆內存地址范圍,從而使IE瀏覽器遠程執行堆內存中的shellcode;
接著�,堆內存中的shellcode把黑客預先指定的木馬下載到受害網民電腦中�����,并將木馬運行起來���,從而達到盜號��、偷隱私����、彈廣告等各種不法目的���。
原來�����,掛馬網頁之所以能讓木馬等惡意程序偷偷侵入網民電腦���,原因就在于“極光IE 0day漏洞”在特定條件下允許IE遠程執行任意代碼(shellcode)����。針對漏洞的攻擊方式�����,360網盾(原“360網頁防火墻”的升級模塊)通過組合策略實施多重攔截����,從而對0day漏洞攻擊起到了有效的防御效果��。即便在不使用“360臨時補丁”的情況下����,目前網上也沒有一例“極光IE 0day漏洞”掛馬攻擊能夠突破360網盾的防御�����。
下面�,就讓我們來看看���,360網盾是如何通過五道防御體系���,從容不迫地化解針對“極光IE 0day漏洞”的掛馬攻擊的:
第一道防御:360網盾能自動攔截已知的惡意網址(由360云安全系統2.5億用戶共同嚴密監控)���;
第二道防御:如果網民誤點擊了未知的惡意網址�,360網盾將自動運用腳本引擎攔截漏洞攻擊代碼中的靜態特征;
第三道防御:如果攻擊代碼繞過了第二道防御�,360網盾會繼續攔截堆噴射的內存地址����,保護漏洞不被觸發�����;
第四道防御:一旦漏洞被觸發��,360網盾還能隨時攔截shellcode中用于下載木馬的關鍵函數;
第五道防御:一旦木馬已經被下載到用戶電腦中�,360網盾會馬上攔截shellcode中用于運行木馬的關鍵函數�����。
360網盾已經整合了國內外領先的反惡意網頁防護功能,即便黑客挖掘出更多0day漏洞和漏洞攻擊方式��,上述5道防御也能幫用戶抵御絕大多數來自掛馬等惡意網頁的木馬攻擊���。以“極光IE 0day漏洞”攻擊為例�����,黑客可以變換掛馬網頁的網址,也可以改寫漏洞攻擊代碼的特征����,甚至使用等效代碼繞過堆噴射攔截�,但目前并沒有出現能夠繞過360網盾后兩層攔截環節的實例�����。
由于和360網盾使用了同類技術�,360安全瀏覽器成為唯一不受“極光IE 0day漏洞”影響的IE內核瀏覽器�。同時,為了徹底從根源上封堵該漏洞受攻擊的可能���,并保護使用IE內核的其它第三方瀏覽器,360緊急發布了“極光IE 0day漏洞”臨時補丁。(部分360安全衛士版本的“網頁防火墻”功能僅支持對IE瀏覽器的保護)
需要再度明確的是,360臨時補丁是一種內存補丁(又稱為“熱補丁”)����,它是針對漏洞攔截了惡意的指針引用���,使漏洞根本無從觸發���,不會漏攔任何形式的漏洞攻擊�,也不會誤攔正常的網頁��,兼容性和穩定性也優于常規的安全防御功能���,完全不會與微軟官方補丁沖突���。
因此���,與常規的網頁防護功能相比,360臨時補丁能夠100%徹底攔截“極光IE 0day漏洞”攻擊,360安全衛士用戶只要開啟360網盾(網頁防火墻),并安裝使用360臨時補丁,無論黑客如何改進漏洞攻擊方式����,都能確保不會受到“極光IE 0day漏洞”的危害����,相信這也是微軟提供漏洞補丁之前最為有效的解決方案。
本文出自:億恩科技【www.sunshares.net】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商�����!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
