2009 年，伊朗納坦茲核燃料濃縮工廠的科學(xué)家們苦思冥想了幾個月卻束手無措。他們用試驗排除了由機電故障引發(fā)的可能性，還將工廠的離心機數(shù)量翻倍，但濃縮鈾的產(chǎn)量仍然停滯不前，甚至每況愈下。

終于，他們在一臺裝有控制軟件的電腦上發(fā)現(xiàn)了帶有惡意軟件的 U 盤。事實證明，長期以來，一個名為震網(wǎng)的秘密軟件一直在暗中干擾，病毒最終導(dǎo)致 1000 臺鈾濃縮離心機廢棄，直接摧毀了伊朗“核計劃”。

這次攻擊之所以能得逞，與 0day（零日漏洞）息息相關(guān)。

所謂 0day，一種沒有補丁、應(yīng)對措施，只有少數(shù)攻擊者知曉的漏洞。安全人員只有知道并努力分析之后，才能發(fā)布包含必要補丁的更新——制造出防衛(wèi)的“武器”。

可怕的是，震網(wǎng)設(shè)計者精心構(gòu)置了微軟操作系統(tǒng)中 4 個在野 0day 漏洞，并和工控系統(tǒng)的在野 0day 漏洞進行組合，以實現(xiàn)精準打擊、定向破壞。

這是在賽博世界上濃墨重彩描下一筆的具有超級破壞性的網(wǎng)絡(luò)武器。如果說，世界上還有什么比核武器更厲害的武器，只有網(wǎng)絡(luò)武器可以給出答案。

靠 0day 實現(xiàn)的“網(wǎng)絡(luò)武器”是尖刀上的刀尖，在防守方察覺并找到對抗方法前，手握 0day 武器的攻擊者所向披靡。

一個叫做冰刃實驗室的團隊可能拯救被 0day 威脅的賽博世界。

Digtool 的鋪墊

兩年前，雷鋒網(wǎng)曾介紹過一個有趣的“工具”，這個工具的牛逼之處在于，由于微軟沒有提供源碼，Windows 系統(tǒng)的漏洞挖掘不容易，人工挖掘需要逆向分析。但是由冰刃實驗室研發(fā)的一款名叫 Digtool 的工具可以自動挖掘 Windows 漏洞，極大解放安全人員的勞動力。

當(dāng)時，該工具的開發(fā)人之一 、360 冰刃實驗室負責(zé)人潘劍鋒告訴雷鋒網(wǎng)，Digtool 可以記錄內(nèi)存訪問等行為日志，這是“挖沙”，進而，Digtool 的分析模塊會進行分析，一旦符合主要的六種漏洞行為特征規(guī)則，便實現(xiàn)了一次“淘金”，也就意味著找到一個漏洞。

簡單來說，Digtool 的任務(wù)就是像獵犬一般嗅探，發(fā)現(xiàn)獵物的蹤跡。

但是，Digtool 畢竟是機器程序，不是獵犬，它察覺“獵物”痕跡的方法只有靠“勤勞”，因為程序的運行會有大量路徑產(chǎn)生，Digtool 不斷嘗試從 A 點到 B 點的可能路徑，就像那個把巨石一直推向山頂，巨石掉落，又往山頂推的人，只是嘗試一百種、甚至一千種推石頭上山頂?shù)姆椒ā?/p>

就是靠著異常的勤奮和努力，Digtool 嘗試了數(shù)不清的“通道”，才可能找到通向“漏洞”的路徑，發(fā)現(xiàn)了“這條不尋常的路徑”后，Digtool 在這條路上找到異常行為的“證據(jù)”，才算真的捕獲“漏洞”。

這是 Digtool 包含的兩條重要的工作路徑：“路徑探測模塊”和“錯誤檢測模塊”。

當(dāng)時，大家都很開心，這個工具與谷歌知名研究團隊 Project Zero 制造出來的自動挖掘漏洞工具一樣酷炫狂拽吊炸天，“跑一局游戲，十幾個漏洞就挖到了”。

第二朵“花”

誰也沒想到，兩年后，Digtool 的第二條路徑開出了新的“花”。

冰刃實驗室造出的工具讓安全人員在挖掘一般漏洞上，省了很多力氣，但他們還想要更多。

發(fā)掘 0day 漏洞很難，也有很強的偶然性，冰刃實驗室思考，能否把目標放在追蹤利用 0day 的攻擊上，畢竟任何攻擊都會留下蛛絲馬跡，縮短發(fā)現(xiàn) 0day 攻擊的“時間差”，就意味著安全人員可以盡快找到防守的辦法，堵上這條路，0day 的威力將大打折扣。

Digtool 能找出異常行為的“證據(jù)”，從而捕獲漏洞給了潘劍鋒新的思考：Digtool 的兩大組成部分“路徑探測模塊”和“錯誤檢測模塊”也是在虛擬機上運行，錯誤檢測模塊能檢測 Digtool 自己跑出來的路徑中的漏洞，自然也能檢測黑客發(fā)現(xiàn)的漏洞——只要在監(jiān)控之下運行漏洞利用程序即可，因此，錯誤檢測模塊是否可以作為探測器？

0day 漏洞攻擊分為觸發(fā)、利用、運行三個階段，只要在三個階段布置探測器就能發(fā)現(xiàn)攻擊。

順著這一思路，冰刃實驗室把錯誤檢測模塊改造成了探測器。不過，Digtool的錯誤檢測模塊在被改造前只為六種漏洞提供了探測器，但冰刃的目標是覆蓋盡量多的漏洞類型，因此，冰刃團隊又打造了大量的探測器。

探測器有了，但是對系統(tǒng)的某些探測、監(jiān)控能力需要借助虛擬化技術(shù)才能達到，也就是說，探測器要想有效發(fā)揮作用，必須有“藥引”，因為很多的漏洞利用行為，例如敏感指令序列，靠普通的監(jiān)控程序如系統(tǒng)驅(qū)動根本拿不到。

簡單來說，它的運行過程跑了哪些地址和指令，你根本看不到，但是利用虛擬化技術(shù)可以讓這個“黑盒子”變得透明，從而發(fā)現(xiàn)一些程序到底下達了哪些指令，經(jīng)過了哪些路徑，從而可以迅速還原并捕獲一個看不見的“漏洞”。

因此，冰刃實驗室想到了制造出一套針對安全需求的虛擬機系統(tǒng) ILSVM。

巧妙地將 Digtool 的錯誤檢測模塊改造成探測器，并制造出專門針對安全的虛擬機系統(tǒng)無疑是很難的，更難的是，要讓這種“捕獲工具”可以被應(yīng)用在無數(shù)終端上，讓英雄有用武之地，能在現(xiàn)實環(huán)境落地。

達到這個目標至少要解決三個問題。

第一，這個工具吭哧吭哧地跑起來，既要高性能，但也不能消耗了系統(tǒng)的馬力，耽誤用戶干正經(jīng)事。

第二，大家用著各種版本的系統(tǒng)，用戶環(huán)境這么復(fù)雜，就像每戶人家裝修得都不一樣，怎么保證這個工具在每個人家里都能放得下并且用得上？

第三，在用戶的機器上，面對真實環(huán)境，這個工具能抓到一些漏洞的“現(xiàn)行”，但畢竟環(huán)境有限，如果想達到更高級別的監(jiān)控，用戶的機器可能滿足不了這樣的探測需求，這時能找到沙箱“外援”，提供對更多類型的漏洞的監(jiān)控嗎？

潘劍鋒用冰刃安全虛擬機解決了這三個問題。這套從零設(shè)計開發(fā)的以實現(xiàn)安全檢測與防御特性為主的全新輕量級虛擬機系統(tǒng)是目前國內(nèi)乃至世界上唯一能在客戶終端默認實時開啟的安全虛擬機系統(tǒng)，它守衛(wèi)在每一個終端上，默默拿起“望遠鏡”，守望每一個異常進程，不畏懼每一個未曾現(xiàn)世過的攻擊，并保持跟蹤與記錄。

甚至，這是冰刃團隊在Windows 10 RS3開始使用多種技術(shù)對抗監(jiān)控類虛擬機的前提下，成功建造的一個全球唯一對其繞過、保持對操作系統(tǒng)有效透明監(jiān)控的虛擬機系統(tǒng)。

如果想捕獲更多類型的漏洞利用攻擊，還可以延展這套系統(tǒng)的能力，將 ILSVM 的核心安全能力復(fù)制到 KVM虛擬機之上建立多維沙箱，將大量虛擬化新型探測器部署于多個維度上。

讓系統(tǒng)部署在客戶端，不斷探測真實攻擊路徑，借用沙箱擴大對不同類型的漏洞利用攻擊的感知，冰刃團隊還要借助云端的分析能力實時分析。這三部分結(jié)合起來，就是冰刃實驗室構(gòu)造出來的可以捕獲 0day 的全新“雷達”，又名“全視之眼”。

反思

事實上，潘劍鋒告訴雷鋒網(wǎng)，能部署到客戶端的虛擬機系統(tǒng)早在 2012 年已經(jīng)研發(fā)成功，并在數(shù)千萬安全衛(wèi)士的終端上盡忠職守已達七年。

如上文所介紹的，針對安全需求研發(fā)的全新虛擬機系統(tǒng) ILSVM 另一核心思路 Digtool 的“機制”也于兩年前誕生。

協(xié)助“雷達”分析、判斷的大數(shù)據(jù)更可以追溯到多年前就誕生的安全衛(wèi)士打下的基礎(chǔ)。

少了哪一步，“全視之眼”都不可能鍛造成功。但更可貴的，可能還在于安全研究者的堅持與巧思，以及對抗不可能的決心。

用 0day 制造的網(wǎng)絡(luò)武器固然可怕，但安全守衛(wèi)者捍衛(wèi)賽博世界的安全，與時間差賽跑爭分奪秒的勇氣，是除了“全視之眼”外，對抗“核武器般”的網(wǎng)絡(luò)武器更重要的反擊。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。