如何检测flash堆喷射攻击?网络安全

2014-12-04    来源:TechTarget中国    编辑:柳芒
近来利用“use-after-free”IE零日漏洞的攻击似乎凸显了flash堆喷射(heap spray)检测的重要性。为什么攻击者利用这种技术?研究人员又应该如何检测堆喷射(heap spray)?

  企业威胁专家Nick Lewis解释了新的Flash堆喷射(heap spray)攻击技术的工作原理,并讨论了研究人员正在使用的检测和降低风险的方法。

  近来利用“use-after-free”IE零日漏洞的攻击似乎凸显了Flash堆喷射(heap spray)检测的重要性。为什么攻击者会利用这种技术?研究人员又应该如何检测堆喷射(heap spray)?

  Nick Lewis:攻击者在近期的“use-after-free”IE零日攻击中使用了Flash堆喷射(heap spray)。攻击者使用该技术在系统上执行恶意代码,通过将恶意代码嵌入已安装在系统上的软件易受攻击的一部分。使用Flash堆喷射(heap spray),攻击者可以将恶意数据注入记忆堆,一旦易受攻击的应用程序被启用,就会访问到堆中任意一个位置的恶意代码从而执行。

  Flash堆喷射(heap spray)是堆喷射(heap spray)的一种,其使用Flash ActionScript将代码放到操作系统的记忆堆中,以便之后应用程序启用时触发。被恶意Falsh文件所利用的IE浏览器漏洞被称为IE的漏洞功能,该漏洞会执行放置在记忆堆中的恶意代码。

  研究人员正在想办法检测堆喷射(heap spraying),但考虑到多阶段攻击手法和攻击中所涉及到多个不同的文件,想要检测到堆喷射(heap spraying)是非常困难的。

  Vulnerability Research Team (VRT)写了一篇博客文章,概述了其检测Flash堆喷射(heap spray)攻击的步骤。步骤中表示调用零日IE漏洞的恶意功能具体情况还不是很明确,但是如果你只是分析攻击中所打开的HTML文件,该调用最重要的部分可以锁定。VRT公布了其利用特定工具的检测方法,其它供应商可能会利用VRT的研究来确定如何使用它们自己的工具来开展防护措施。

  至于其它相关研究,Salman Javaid写了一篇论文,详细说明了基于堆的恶意程序检测以及如何使用虚拟机来检测基于堆的恶意软件。

1
3