360工程師詳解：360如何完美攔截極光IE漏洞攻擊

近來，Google、Adobe、Yahoo等數(shù)十家高科技企業(yè)被曝遭遇黑客襲擊。在人們看來，Google等公司的網(wǎng)絡(luò)安全防御理應(yīng)密不透風(fēng)，沒想到一個(gè)名為“極光”（Aurora）的IE 0day漏洞卻為黑客大開方便之門。360安全中心近日宣稱，在微軟公司提供正式官方補(bǔ)丁前，360安全衛(wèi)士提供的“360網(wǎng)盾+360臨時(shí)補(bǔ)丁”組合，是能夠100%攔截“極光”IE 0day漏洞攻擊的最佳安防。為了讓更多網(wǎng)民了解360是如何有效攔截針對(duì)該漏洞的攻擊的，360安全工程師首次披露了相關(guān)技術(shù)細(xì)節(jié)。

第一步，我們需要先了解一下，一個(gè)普通用戶在上網(wǎng)時(shí)是如何遭到針對(duì)該漏洞的攻擊的？

首先，某網(wǎng)民使用IE瀏覽器或其它第三方的IE內(nèi)核瀏覽器，訪問嵌入了“極光IE 0day漏洞”攻擊代碼的掛馬網(wǎng)頁（可能是主動(dòng)掛馬的色情等不良網(wǎng)站，也有可能是被黑客入侵篡改的正規(guī)網(wǎng)站）；

其次，掛馬網(wǎng)頁中的惡意代碼通過堆噴射方式將nop指令和shellcode代碼組成的shellcode鏈占領(lǐng)IE的堆內(nèi)存地址，再利用“極光 IE 0day漏洞”控制IE的程序流程跳轉(zhuǎn)到IE的堆內(nèi)存地址范圍，從而使IE瀏覽器遠(yuǎn)程執(zhí)行堆內(nèi)存中的shellcode；

接著，堆內(nèi)存中的shellcode把黑客預(yù)先指定的木馬下載到受害網(wǎng)民電腦中，并將木馬運(yùn)行起來，從而達(dá)到盜號(hào)、偷隱私、彈廣告等各種不法目的。

原來，掛馬網(wǎng)頁之所以能讓木馬等惡意程序偷偷侵入網(wǎng)民電腦，原因就在于“極光 IE 0day漏洞”在特定條件下允許IE遠(yuǎn)程執(zhí)行任意代碼（shellcode）。針對(duì)漏洞的攻擊方式，360網(wǎng)盾（原“360網(wǎng)頁防火墻”的升級(jí)模塊）通過組合策略實(shí)施多重?cái)r截，從而對(duì)0day漏洞攻擊起到了有效的防御效果。即便在不使用“360臨時(shí)補(bǔ)丁”的情況下，目前網(wǎng)上也沒有一例“極光 IE 0day漏洞”掛馬攻擊能夠突破360網(wǎng)盾的防御。

下面，就讓我們來看看，360網(wǎng)盾是如何通過五道防御體系，從容不迫地化解針對(duì)“極光 IE 0day漏洞”的掛馬攻擊的：

第一道防御：360網(wǎng)盾能自動(dòng)攔截已知的惡意網(wǎng)址（由360云安全系統(tǒng)2.5億用戶共同嚴(yán)密監(jiān)控）；

第二道防御：如果網(wǎng)民誤點(diǎn)擊了未知的惡意網(wǎng)址，360網(wǎng)盾將自動(dòng)運(yùn)用腳本引擎攔截漏洞攻擊代碼中的靜態(tài)特征；

第三道防御：如果攻擊代碼繞過了第二道防御，360網(wǎng)盾會(huì)繼續(xù)攔截堆噴射的內(nèi)存地址，保護(hù)漏洞不被觸發(fā)；

第四道防御：一旦漏洞被觸發(fā)，360網(wǎng)盾還能隨時(shí)攔截shellcode中用于下載木馬的關(guān)鍵函數(shù)；

第五道防御：一旦木馬已經(jīng)被下載到用戶電腦中，360網(wǎng)盾會(huì)馬上攔截shellcode中用于運(yùn)行木馬的關(guān)鍵函數(shù)。

360網(wǎng)盾已經(jīng)整合了國內(nèi)外領(lǐng)先的反惡意網(wǎng)頁防護(hù)功能，即便黑客挖掘出更多0day漏洞和漏洞攻擊方式，上述5道防御也能幫用戶抵御絕大多數(shù)來自掛馬等惡意網(wǎng)頁的木馬攻擊。以“極光IE 0day漏洞”攻擊為例，黑客可以變換掛馬網(wǎng)頁的網(wǎng)址，也可以改寫漏洞攻擊代碼的特征，甚至使用等效代碼繞過堆噴射攔截，但目前并沒有出現(xiàn)能夠繞過360網(wǎng)盾后兩層攔截環(huán)節(jié)的實(shí)例。

由于和360網(wǎng)盾使用了同類技術(shù)，360安全瀏覽器成為唯一不受“極光IE 0day漏洞”影響的IE內(nèi)核瀏覽器。同時(shí)，為了徹底從根源上封堵該漏洞受攻擊的可能，并保護(hù)使用IE內(nèi)核的其它第三方瀏覽器，360緊急發(fā)布了“極光IE 0day漏洞”臨時(shí)補(bǔ)丁。（部分360安全衛(wèi)士版本的“網(wǎng)頁防火墻”功能僅支持對(duì)IE瀏覽器的保護(hù)）

需要再度明確的是，360臨時(shí)補(bǔ)丁是一種內(nèi)存補(bǔ)?。ㄓ址Q為“熱補(bǔ)丁”），它是針對(duì)漏洞攔截了惡意的指針引用，使漏洞根本無從觸發(fā)，不會(huì)漏攔任何形式的漏洞攻擊，也不會(huì)誤攔正常的網(wǎng)頁，兼容性和穩(wěn)定性也優(yōu)于常規(guī)的安全防御功能，完全不會(huì)與微軟官方補(bǔ)丁沖突。

因此，與常規(guī)的網(wǎng)頁防護(hù)功能相比，360臨時(shí)補(bǔ)丁能夠100%徹底攔截“極光IE 0day漏洞”攻擊，360安全衛(wèi)士用戶只要開啟360網(wǎng)盾（網(wǎng)頁防火墻），并安裝使用360臨時(shí)補(bǔ)丁，無論黑客如何改進(jìn)漏洞攻擊方式，都能確保不會(huì)受到“極光IE 0day漏洞”的危害，相信這也是微軟提供漏洞補(bǔ)丁之前最為有效的解決方案。