Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
企业威胁专家Nick Lewis解释了新的Flash堆喷射(heap spray)攻击技术的工作原理,并讨论了研究人员正在使用的检测和降低风险的方法。
近来利用“use-after-free”IE零日漏洞的攻击似乎凸显了Flash堆喷射(heap spray)检测的重要性。为什么攻击者利用这种技术?研究人员又应该如何检测堆喷射(heap spray)?
Nick Lewis:攻击者在近期的“use-after-free”IE零日攻击中使用了Flash堆喷射(heap spray)。攻击者使用该技术在系统上执行恶意代码,通过将恶意代码嵌入已安装在系统上的软件易受攻击的一部分。使用Flash堆喷射(heap spray),攻击者可以将恶意数据注入记忆堆,一旦易受攻击的应用程序被启用,就会访问到堆中任意一个位置的恶意代码从而执行。
Flash堆喷射(heap spray)是堆喷射(heap spray)的一种,其使用Flash ActionScript将代码放到操作系统的记忆堆中,以便之后应用程序启用时触发。被恶意Falsh文件所利用的IE浏览器漏洞被称为IE的漏洞功能,该漏洞会执行放置在记忆堆中的恶意代码。
研究人员正在想办法检测堆喷射(heap spraying),但考虑到多阶段攻击手法和攻击中所涉及到多个不同的文件,想要检测到堆喷射(heap spraying)是非常困难的。
Vulnerability Research Team (VRT)写了一篇博客文章,概述了其检测Flash堆喷射(heap spray)攻击的步骤。步骤中表示调用零日IE漏洞的恶意功能具体情况还不是很明确,但是如果你只是分析攻击中所打开的HTML文件,该调用最重要的部分可以锁定。VRT公布了其利用特定工具的检测方法,其它供应商可能会利用VRT的研究来确定如何使用它们自己的工具来开展防护措施。
至于其它相关研究,Salman Javaid写了一篇论文,详细说明了基于堆的恶意程序检测以及如何使用虚拟机来检测基于堆的恶意软件。
