0day檢測手段完全揭秘:沒有最好,只有更全
這個世界上,能讓網安人士魂(ti)牽(xin)夢(diao)繞(dan)的,不僅有一年一度的攻防演練,還有在攻防演練中“大火”的0day漏洞。由于是未知漏洞,且官方并未公開發布漏洞補丁,在任何場合0day的殺傷力都無法被忽視。
而真正讓0day漏洞站在攻擊工具制高點的,則在于實戰環境中想要全面準確進行0day檢測實在太難了。從流量到終端,從IDS到IPS,從下一代防火墻到端點,從shellcode檢測到機器學習進行異常流量檢測,大家嘗試了各種辦法,都宣稱自己能夠檢測未知0day漏洞,但其實都沒能很好解決0day檢測的問題。不過,在與黑客斗智斗勇的過程中,倒是出現了幾個對抗0day的“關鍵階段”:
階段1:想收高價值漏洞,卻收了一堆POC
2005年7月25日,美國數字電子產品制造商3Com所屬部門TippingPoint率先發起了一項國際軟件漏洞倡議行動(Zero Day Initiative,ZDI),花費不菲的獎勵,從獨立安全研究人員手上購買當時一眾知名軟件的0day漏洞。雖然投入巨大,但ZDI收錄的0day,并非一定可被“利用”的漏洞,而是 “存在可能性的概念驗證的漏洞”(POC,Proof of Concept),根本無法應用在產品中進行0day檢測。
階段2:文件沙箱,覆蓋文件型0day檢測
以沙箱起家的FireEye,把0day檢測技術提到了另一個臺階。從2004年開始,對客戶端的攻擊增加,基于終端的Word、Excel、PPT、Adobe等軟件的攻擊數量暴增。2010年,FireEye推出用文件沙箱解決針對客戶端的0day漏洞檢測,可對Word、Excel、PPT等文件型漏洞進行檢測,成為了文件型0day檢測的利器。不過,這種檢測方式也有其局限性,對于0click的遠程漏洞利用無解。
階段3:獲取高價值漏洞,轉身成為黑客經紀人
有需求,就有市場,而率先抓住這個需求,從事0day漏洞買與賣的企業,則是一家叫做Zerodium的美國信息安全公司。這家企業的核心業務就是大量收購高價值漏洞,并明確表態不要“概念驗證”(POC)的漏洞,而是“可被利用”的漏洞。獲取漏洞后,這家公司又對漏洞進行明碼標價,將研究報告、保護措施以及安全建議,售賣給政府、黑客等群體,轉身成為漏洞中間商,黑客的經紀人。根據媒體報道,該公司已有1500多名”在野”研究員,在2015到2021年購買漏洞花費超過5千萬美元。
階段4:檢測技術+高價值漏洞,實現關鍵0day漏洞檢測
0day漏洞屬于未發現漏洞,想要全面進行檢測,光靠技術不夠,還需獲取高價值0day漏洞數據。微步在線威脅感知平臺TDP基于機器學習與通用檢測,在挑戰賽高強度對抗的環境下對Web類0day自動檢出率高達50%以上。
同時,微步TDP又收錄了影響范圍廣、危害大、紅隊利用率極高的高價值0day漏洞放入TDP流量檢測中,可對大部分關鍵0day實現有效檢測,并及時阻斷。與Zerodium不同的是,微步會將相關漏洞告知給對應廠商,并協助廠商進行漏洞修復。
從0day檢測能力上線以來,微步TDP目前已監測到存在多個在野利用0day漏洞,涉及知名OA、開發應用、財務軟件等平臺。出于安全性要求考慮,此處不做更多細節透露。
攻防對抗沒有盡頭,網絡安全我們一起守護。
