0
2009 年,伊朗納坦茲核燃料濃縮工廠的科學家們苦思冥想了幾個月卻束手無措。他們用試驗排除了由機電故障引發的可能性,還將工廠的離心機數量翻倍,但濃縮鈾的產量仍然停滯不前,甚至每況愈下。
終于,他們在一臺裝有控制軟件的電腦上發現了帶有惡意軟件的 U 盤。事實證明,長期以來,一個名為震網的秘密軟件一直在暗中干擾,病毒最終導致 1000 臺鈾濃縮離心機廢棄,直接摧毀了伊朗“核計劃”。
這次攻擊之所以能得逞,與 0day(零日漏洞)息息相關。
所謂 0day,一種沒有補丁、應對措施,只有少數攻擊者知曉的漏洞。安全人員只有知道并努力分析之后,才能發布包含必要補丁的更新——制造出防衛的“武器”。
可怕的是,震網設計者精心構置了微軟操作系統中 4 個在野 0day 漏洞,并和工控系統的在野 0day 漏洞進行組合,以實現精準打擊、定向破壞。
這是在賽博世界上濃墨重彩描下一筆的具有超級破壞性的網絡武器。如果說,世界上還有什么比核武器更厲害的武器,只有網絡武器可以給出答案。
靠 0day 實現的“網絡武器”是尖刀上的刀尖,在防守方察覺并找到對抗方法前,手握 0day 武器的攻擊者所向披靡。
一個叫做冰刃實驗室的團隊可能拯救被 0day 威脅的賽博世界。
兩年前,雷鋒網曾介紹過一個有趣的“工具”,這個工具的牛逼之處在于,由于微軟沒有提供源碼,Windows 系統的漏洞挖掘不容易,人工挖掘需要逆向分析。但是由冰刃實驗室研發的一款名叫 Digtool 的工具可以自動挖掘 Windows 漏洞,極大解放安全人員的勞動力。
當時,該工具的開發人之一 、360 冰刃實驗室負責人潘劍鋒告訴雷鋒網,Digtool 可以記錄內存訪問等行為日志,這是“挖沙”,進而,Digtool 的分析模塊會進行分析,一旦符合主要的六種漏洞行為特征規則,便實現了一次“淘金”,也就意味著找到一個漏洞。
簡單來說,Digtool 的任務就是像獵犬一般嗅探,發現獵物的蹤跡。
但是,Digtool 畢竟是機器程序,不是獵犬,它察覺“獵物”痕跡的方法只有靠“勤勞”,因為程序的運行會有大量路徑產生,Digtool 不斷嘗試從 A 點到 B 點的可能路徑,就像那個把巨石一直推向山頂,巨石掉落,又往山頂推的人,只是嘗試一百種、甚至一千種推石頭上山頂的方法。
就是靠著異常的勤奮和努力,Digtool 嘗試了數不清的“通道”,才可能找到通向“漏洞”的路徑,發現了“這條不尋常的路徑”后,Digtool 在這條路上找到異常行為的“證據”,才算真的捕獲“漏洞”。
這是 Digtool 包含的兩條重要的工作路徑:“路徑探測模塊”和“錯誤檢測模塊”。
當時,大家都很開心,這個工具與谷歌知名研究團隊 Project Zero 制造出來的自動挖掘漏洞工具一樣酷炫狂拽吊炸天,“跑一局游戲,十幾個漏洞就挖到了”。
誰也沒想到,兩年后,Digtool 的第二條路徑開出了新的“花”。
冰刃實驗室造出的工具讓安全人員在挖掘一般漏洞上,省了很多力氣,但他們還想要更多。
發掘 0day 漏洞很難,也有很強的偶然性,冰刃實驗室思考,能否把目標放在追蹤利用 0day 的攻擊上,畢竟任何攻擊都會留下蛛絲馬跡,縮短發現 0day 攻擊的“時間差”,就意味著安全人員可以盡快找到防守的辦法,堵上這條路,0day 的威力將大打折扣。
Digtool 能找出異常行為的“證據”,從而捕獲漏洞給了潘劍鋒新的思考:Digtool 的兩大組成部分“路徑探測模塊”和“錯誤檢測模塊”也是在虛擬機上運行,錯誤檢測模塊能檢測 Digtool 自己跑出來的路徑中的漏洞,自然也能檢測黑客發現的漏洞——只要在監控之下運行漏洞利用程序即可,因此,錯誤檢測模塊是否可以作為探測器?
0day 漏洞攻擊分為觸發、利用、運行三個階段,只要在三個階段布置探測器就能發現攻擊。
順著這一思路,冰刃實驗室把錯誤檢測模塊改造成了探測器。不過,Digtool的錯誤檢測模塊在被改造前只為六種漏洞提供了探測器,但冰刃的目標是覆蓋盡量多的漏洞類型,因此,冰刃團隊又打造了大量的探測器。
探測器有了,但是對系統的某些探測、監控能力需要借助虛擬化技術才能達到,也就是說,探測器要想有效發揮作用,必須有“藥引”,因為很多的漏洞利用行為,例如敏感指令序列,靠普通的監控程序如系統驅動根本拿不到。
簡單來說,它的運行過程跑了哪些地址和指令,你根本看不到,但是利用虛擬化技術可以讓這個“黑盒子”變得透明,從而發現一些程序到底下達了哪些指令,經過了哪些路徑,從而可以迅速還原并捕獲一個看不見的“漏洞”。
因此,冰刃實驗室想到了制造出一套針對安全需求的虛擬機系統 ILSVM。
巧妙地將 Digtool 的錯誤檢測模塊改造成探測器,并制造出專門針對安全的虛擬機系統無疑是很難的,更難的是,要讓這種“捕獲工具”可以被應用在無數終端上,讓英雄有用武之地,能在現實環境落地。
達到這個目標至少要解決三個問題。
第一,這個工具吭哧吭哧地跑起來,既要高性能,但也不能消耗了系統的馬力,耽誤用戶干正經事。
第二,大家用著各種版本的系統,用戶環境這么復雜,就像每戶人家裝修得都不一樣,怎么保證這個工具在每個人家里都能放得下并且用得上?
第三,在用戶的機器上,面對真實環境,這個工具能抓到一些漏洞的“現行”,但畢竟環境有限,如果想達到更高級別的監控,用戶的機器可能滿足不了這樣的探測需求,這時能找到沙箱“外援”,提供對更多類型的漏洞的監控嗎?
潘劍鋒用冰刃安全虛擬機解決了這三個問題。這套從零設計開發的以實現安全檢測與防御特性為主的全新輕量級虛擬機系統是目前國內乃至世界上唯一能在客戶終端默認實時開啟的安全虛擬機系統,它守衛在每一個終端上,默默拿起“望遠鏡”,守望每一個異常進程,不畏懼每一個未曾現世過的攻擊,并保持跟蹤與記錄。
甚至,這是冰刃團隊在Windows 10 RS3開始使用多種技術對抗監控類虛擬機的前提下,成功建造的一個全球唯一對其繞過、保持對操作系統有效透明監控的虛擬機系統。
如果想捕獲更多類型的漏洞利用攻擊,還可以延展這套系統的能力,將 ILSVM 的核心安全能力復制到 KVM虛擬機之上建立多維沙箱,將大量虛擬化新型探測器部署于多個維度上。
讓系統部署在客戶端,不斷探測真實攻擊路徑,借用沙箱擴大對不同類型的漏洞利用攻擊的感知,冰刃團隊還要借助云端的分析能力實時分析。這三部分結合起來,就是冰刃實驗室構造出來的可以捕獲 0day 的全新“雷達”,又名“全視之眼”。
事實上,潘劍鋒告訴雷鋒網,能部署到客戶端的虛擬機系統早在 2012 年已經研發成功,并在數千萬安全衛士的終端上盡忠職守已達七年。
如上文所介紹的,針對安全需求研發的全新虛擬機系統 ILSVM 另一核心思路 Digtool 的“機制”也于兩年前誕生。
協助“雷達”分析、判斷的大數據更可以追溯到多年前就誕生的安全衛士打下的基礎。
少了哪一步,“全視之眼”都不可能鍛造成功。但更可貴的,可能還在于安全研究者的堅持與巧思,以及對抗不可能的決心。
用 0day 制造的網絡武器固然可怕,但安全守衛者捍衛賽博世界的安全,與時間差賽跑爭分奪秒的勇氣,是除了“全視之眼”外,對抗“核武器般”的網絡武器更重要的反擊。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
