阿里安全蘋果系統內核防禦研究被國際頂會收錄 保護用户系統安全

2020年11月19日18:04

來源:國際在線

   2016年,蘋果被曝史上最大iOS漏洞“三叉戟”,只要點擊一個鏈接,攻擊者就可通過該漏洞獲得蘋果系統內核的最高權限。後來,該漏洞被發現用於針對特定目標的真實APT(高級可持續威脅攻擊)行動中,嚴重危害用户安全。

   為了提升用户系統安全,保護數據隱私,阿里安全獵户座實驗室總結了一類業界流行的針對於蘋果系統(如iOS和macOS)內核的攻擊方式,並首次提出了一套基於macOS內核的防禦機制“PUSH”。這項由阿里安全研發的新一代安全架構核心技術可自動保護“潛在受害”的蘋果系統,有效對抗業界公開的18個漏洞利用程序,並且發現了1例零日漏洞攻擊。最近,該研究被國際四大安全頂會之一的NDSS2021收錄。

圖説:阿里安全新一代安全架構核心技術成果被國際頂會NDSS2021收錄

   自動發現 APT潛在攻擊

   據國家互聯網應急中心發佈的相關報告,2019年,我國持續遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30餘個APT組織的網絡竊密攻擊,國家網絡空間安全受到嚴重威脅,攻擊對象涉及我國重大基礎設施和關鍵政企單位。

   APT攻擊一般通過瀏覽器或者軟件漏洞獲取普通用户權限,然後通過內核漏洞來突破沙箱(軟件隔離環境)和提升權限,攻擊者在獲取了目標機器上重要數據後,還會留下後門,長期監控攻擊目標。

   該論文第一作者、高級安全專家蒸米介紹,阿里安全獵户座實驗室提出的這套創新防禦機制可以在攻擊者利用內核漏洞時發現並攔截攻擊,幫助政企單位對抗APT攻擊,保護數據隱私信息。

   根據公開的漏洞利用程序,攻擊者往往通過破壞某些內核對象來控制內核,阿里安全獵户座實驗室將這種類型的攻擊技術概括為POP攻擊。PUSH會自動定位macOS系統內核中易被攻擊的區域,找到攻擊者採用的破壞途徑,匹配合適的修復方法。“在整個定位與修復過程中,PUSH會將‘容易出現問題的內核部分’引流到檢測模塊,相當於構建旁路,不會影響蘋果系統的正常運轉。”蒸米説。

圖説:遇到攻擊時PUSH的防護路徑

   2018年蒸米將這項研究同步了蘋果的安全部門。蘋果公司對這一發現表達了感謝,並表示將在蘋果系統中加入相關防護機制,保護系統和用户的安全。

   普通 macOS 用户亦面臨安全風險

   2019年8月,谷歌安全團隊在發現了針對普通iPhone用户的惡意網站,這些網站能夠控制受害iPhone用户的手機,而這些惡意網站正是在利用了“POP”攻擊手段對系統內核進行破壞後才達到了攻擊目的。

   同樣的攻擊手段可能發生在macOS等其他蘋果系統當中,普通macOS用户也面臨同樣的安全風險。

   “通過部署PUSH防禦機制,我們能夠有效地發現這種攻擊手段,甚至發現通過未知漏洞開展的黑客攻擊,及時保護用户的系統安全。”該論文共同作者、安全專家白小龍提醒道。PUSH已經梳理了多種常見的漏洞利用路徑和修復方法,黑客很難繞開這些路徑。所以,即使黑客利用未知漏洞展開這種針對內核的攻擊,PUSH防禦機制也能發現並快速修復漏洞。

   據阿里安全獵户座實驗室負責人杭特介紹,目前阿里已將該防禦機制部署在各種設備中,針對Windows的相關內核防禦機制也已就緒。

   阿里安全資深安全專家、辦公安全負責人自化表示,該成果應用在阿里自身辦公網的雲管端防禦體系,是為了讓阿里的辦公環境默認免疫此類攻擊行為,處於更安全的環境,也從源頭保護用户信息安全。“另外,我們也在通過PUSH發現的在野漏洞積極推進廠商修復,改善用户網絡安全環境。”自化説。


編輯:史海山

我來説兩句 0條評論 0人蔘與,