出于提升用户的系统安全以及保护数据隐私等方面,阿里安全的猎户座实验室将一类流行的针对于苹果系统(如iOS、macOS等)内核的攻击方式进行了总结,提出了基于macOS内核的防御机制——“PUSH”。根据阿里安全的官方说法,这套防御机制可以自动保护那些“潜在受害”的苹果系统,可以有效对抗当前业界公开的18个漏洞利用程序,同时,该防御机制还发现了1例零日漏洞攻击。
近期,阿里安全的这一安全架构核心技术成果被国际顶会NDSS2021收录。
PUSH的特点1:自动发现APT潜在攻击
据国家互联网应急中心发布的相关报告,2019年,我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击,国家网络空间安全受到严重威胁,攻击对象涉及我国重大基础设施和关键政企单位。
APT一般通过浏览器或者软件漏洞获取普通用户权限,进而通过内核漏洞来突破沙箱(软件隔离环境)和提升权限,攻击者在获取了目标机器上重要数据后,还会留下后门用以长期监控攻击目标。
据该论文第一作者——蒸米介绍,阿里安全猎户座实验室提出的这套创新防御机制可以在攻击者利用内核漏洞时发现并拦截攻击,帮助政企单位对抗APT攻击,保护数据隐私信息。
根据公开的漏洞利用程序,攻击者往往通过破坏某些内核对象来控制内核,阿里安全猎户座实验室将这种类型的攻击技术概括为POP攻击。PUSH会自动定位macOS系统内核中易被攻击的区域,找到攻击者采用的破坏途径,匹配合适的修复方法。“在整个定位与修复过程中,PUSH会将‘容易出现问题的内核部分’引流到检测模块,相当于构建旁路,不会影响苹果系统的正常运转。”蒸米说。
遇到攻击时PUSH的防护路径
2018年蒸米将这项研究同步给了苹果的安全部门。苹果公司对这一发现表达了感谢,并表示将在苹果系统中加入相关防护机制,保护系统和用户的安全。
PUSH的特点2:普通macOS用户亦面临安全风险
2019年8月,谷歌安全团队发现了针对普通iPhone用户的恶意网站,这些网站能够控制受害iPhone用户的手机,而这一攻击行为的实现,正是利用了“POP”攻击手段对系统内核进行破坏后达成的。
同样的攻击手段可能发生在macOS等其他苹果系统当中,普通macOS用户也面临同样的安全风险。
“通过部署PUSH防御机制,我们能够有效地发现这种攻击手段,甚至发现通过未知漏洞开展的黑客攻击,及时保护用户的系统安全。”该论文共同作者白小龙提醒道。PUSH已经梳理了多种常见的漏洞利用路径和修复方法,黑客很难绕开这些路径。所以,即使黑客利用未知漏洞展开这种针对内核的攻击,PUSH防御机制也能发现并快速修复漏洞。
据阿里安全猎户座实验室负责人杭特介绍,目前阿里已将该防御机制部署在各种设备中,针对Windows的相关内核防御机制也已就绪。
阿里安全资深安全专家、办公安全负责人自化表示,该成果应用在阿里自身办公网的云管端防御体系,是为了让阿里的办公环境默认免疫此类攻击行为,处于更安全的环境,也从源头保护用户信息安全。“另外,我们也在通过PUSH发现的在野漏洞积极推进厂商修复,改善用户网络安全环境。”自化说。
京公网安备 11010802033237号
