技術(shù)宅

·科技公司展示的Oday漏洞雷達系統(tǒng)

讓人防不勝防的Oday漏洞

關(guān)注系統(tǒng)安全的朋友都知道，我們每個月幾乎都要定期安裝系統(tǒng)補丁來修補系統(tǒng)漏洞，這些漏洞有些是微軟自己測試發(fā)現(xiàn)的，有些則是第三方發(fā)現(xiàn)的。一般第三方安全專家發(fā)現(xiàn)系統(tǒng)漏洞后都會將信息提供給微軟，微軟技術(shù)人員在測試后會提出相應(yīng)的解決方案，然后定期發(fā)布在官網(wǎng)上并推送給用戶進行安裝，這就是我們每個月都安裝的系統(tǒng)補?。▓D2）。

那么Oday漏洞又是一種什么樣的漏洞？Oday的英文意為“0天”，也就是1天不到的意思，所以早期的Oday即表示在軟件發(fā)行后的24小時以內(nèi)就出現(xiàn)破解版本?，F(xiàn)在則對這個定義進行了延伸，在信息安全領(lǐng)域，Oday是指系統(tǒng)商在知曉并發(fā)布相關(guān)補丁前就被掌握或者公開的漏洞信息，無論被發(fā)現(xiàn)多久都稱之為Oday漏洞（圖3）。

②·Windows 10安裝的系統(tǒng)補丁

③·Odayi漏洞

發(fā)現(xiàn)和防范——Oday漏洞雷達系統(tǒng)背后的秘密

現(xiàn)在絕大多數(shù)Oday漏洞都是一些技術(shù)高超的黑客發(fā)現(xiàn)的，他們的目的就是利用這些漏洞來實現(xiàn)對目標(biāo)電腦的攻擊或者進行某種破壞活動，比如2009年伊朗納坦茲核燃料濃縮工廠發(fā)生的“震網(wǎng)”病毒就是一次最為著名的Oday漏洞攻擊事件（圖4）。

④·“震網(wǎng)”病毒攻擊圖解

不過在安全專家的眼中，即使黑客借助Oday漏洞的入侵攻擊也會在系統(tǒng)中留下蛛絲馬跡，因此為了及時發(fā)現(xiàn)漏洞，安全技術(shù)人員通過相應(yīng)的防御系統(tǒng)來捕捉黑客攻擊留下的痕跡。比如安全技術(shù)人員開發(fā)的一款名為“Digtool”的工具，它可以用來自動發(fā)現(xiàn)和挖掘Windows漏洞。它的檢測原理類似殺毒軟件對未知病毒的檢測，安全技術(shù)團隊首先根據(jù)漏洞的特征制定六種行為特征規(guī)則，然后將Digtool部署在檢測電腦上。這樣Digtool會記錄內(nèi)存訪問等行為日志，并且通過分析模塊對日志進行分析。這樣在分析的過程中，如果發(fā)現(xiàn)某項內(nèi)存訪問活動符合上述制定的規(guī)則，而且這種活動和已知的漏洞攻擊不同，那么就判定系統(tǒng)存在未知漏洞（圖5）。

為了提高漏洞檢查效率，并且在發(fā)現(xiàn)漏洞時可以還原攻擊行為，技術(shù)人員把Digtool中的“錯誤檢測模塊”提取出來作為漏洞探測器，同時將其部署在不同虛擬終端進行測試，最終組成可以捕獲Oday漏洞的的全新“雷達”系統(tǒng)——Oday漏洞雷達系統(tǒng)。它主要由三部分組成：

一是錯誤檢測模塊，它可以對Oday漏洞攻擊整個過程進行全面監(jiān)測，包括漏洞觸發(fā)、利用、運行這幾個階段，以便發(fā)現(xiàn)更多攻擊的蛛絲馬跡。

二是虛擬機系統(tǒng)ILSVM，這種利用虛擬化技術(shù)制作的系統(tǒng)，可以在虛擬機中完整記錄一些攻擊程序在實際運行中下達的指令、運行的路徑、執(zhí)行的代碼等要素，并且借助虛擬機記錄進行操作還原，方便技術(shù)人員實時分析攻擊手段。

三是部署探測系統(tǒng)的多個終端，通過在多個安裝虛擬機系統(tǒng)ILSVM的終端部署錯誤檢測模塊，這樣可以借助眾多的終端來不斷探測真實攻擊路徑，同時捕獲到各種類型漏洞利用攻擊的感知。最終這些數(shù)據(jù)可以通過云技術(shù)實時傳輸?shù)椒?wù)器，技術(shù)團隊借助云端的分析能力進行分析，從而可以在第一時間發(fā)現(xiàn)Oday漏洞。

這樣借助這三個組件的無縫銜接，安全技術(shù)團隊就可以全面感知到Oday漏洞的攻擊，并在分析后作出相應(yīng)的防范。對于嚴重的Oday漏洞也可以第一時間上報給微軟，并通過系統(tǒng)補丁的方式保障廣大用戶的電腦安全（圖6）。

安全防范任重道遠

現(xiàn)在網(wǎng)絡(luò)安全形勢日益嚴峻，雖然借助“Oday漏洞雷達系統(tǒng)”之類的工具可以發(fā)現(xiàn)Oday漏洞，不過也不能對這套系統(tǒng)過于神化，因為它的核心是通過分析入侵的特征來進行識別。Oday漏洞的類型非常多并且會不斷被黑客們發(fā)現(xiàn)，漏洞產(chǎn)生的原因也五花八門，就目前的技術(shù)而言要對Oday漏洞進行全面防范還是有一定的難度。因為一些嚴重的Oday漏洞可以在系統(tǒng)底層發(fā)起隱蔽攻擊（而且很多Oday漏洞平時并不會被拿出來使用，只是在關(guān)鍵時刻發(fā)起對對手的致命一擊），一些新型漏洞攻擊特征可能和現(xiàn)有的特征規(guī)則不同，這些都會影響Digtool的檢測。

總之，我們面對的安全形勢仍然很復(fù)雜，我們期望有更多類似“Oday漏洞雷達系統(tǒng)”的檢測系統(tǒng)開發(fā)出來，讓它們更好地為網(wǎng)絡(luò)活動保駕護航！