通常,进程内存是动态的和短暂的,网络攻击往往采用无文件攻击、内存破坏和代码注入来破坏内存。内存成为网络攻击的新战场!像EternalBlue和DoublePulsar这样的高级内存漏洞及工具现在很常见,它们经常被修改以避免被发现,从而导致了WannaCry、NotPetya、Industroyer、BlackEnergy、Triton等大规模攻击,造成了数十亿美元的损失和全球混乱。这些都是传统安全防护手段无法对内存侧进行安全防护,造成的内存攻击事件。
那么,攻击者是如何进行内存攻击的呢?
一种是攻击者可以利用主机系统内存管理功能、缓冲区溢出、指针计算和未初始化内存,将可信的应用程序变成攻击武器。通过一系列针对内存的未经验证的数据输入的软件和硬件漏洞相结合,攻击者破坏合法进程以禁用安全性、泄漏信息或以不常见的方式来执行应用程序功能。
另一种常见的攻击策略是提升特权或控制具有高特权的合法进程。特权进程通常具有对内存的广泛访问权,可以修改系统安全配置、添加受信任的根证书、更改注册表设置,或在执行代码时破坏特定代码集的内存。从这里,攻击者可以劫持应用服务器、访问数据库或使用API连接到其他系统。
关键应用程序进程面临最大的风险,包括那些运行在物理隔离环境中的主机。一旦技术娴熟的黑客绕过了缺乏安全性的系统,他们就可以设置后门,在网络中长时间驻留而不触发警报。
当出现这类安全威胁时,势必要找到解决的办法,内存保护技术无疑是最佳选择。冯·诺依曼计算机体系结构决定了任何数据都需要经过CPU运算,其数据都需要经过内存进行存储。内存保护技术可监控并拦截恶意软件的执行和未经授权的企图通过缓冲区溢出获得系统控制权的行为,以防止0day攻击并保护正在运行的进程可执行文件和 DLL 的完整性,该技术还可以检测和阻止堆栈粉碎和各种旁道攻击。
而且,内存保护技术侧重于保障执行完整性,不同于过去的恶意事件、恶意病毒的特征匹配,而是在内存级别监控应用程序进程,并确保它们保持在合法的执行/控制流上。由于可信执行侧重于保障应用程序的已知,可接受的行为,因此它可以检测并阻止未知攻击。还提供精确的上下文细粒度行为分析,可深入应用程序进程内部,感知识别进程的危险性,通过这种方式确保应用程序的执行完整性,从而能够有效防护0day攻击、无文件攻击、内存攻击等高级威胁。
此外,还可以有效弥补端点安全的防御缺失问题。众所周知,大多数端点技术专注于最终用户设备、系统合规性和安全性,并且会产生大量误报行为。文件白名单也越来越多的在实践中被使用,但是依然无法阻止大多数基于内存的攻击,这些攻击借助在文件白名单环境中运行的合法程序进行攻击。内存保护系统则可以有效防护这类威胁。
正是认识到这一点,安芯网盾作为国内较早研发设计内存保护技术的安全厂商,利用内存保护技术研发了智能内存保护系统,从应用层下沉到系统层、硬件层,形成了立体防护,为主机安全防护构筑了核心的一道防线。可以很好的解决新型网络攻击的威胁行为,更好的保护企事业单位的安全。
来源:freebuf.com 2021-06-30 10:58:18 by: 安芯网盾
请登录后发表评论
注册