2009 年，伊朗納坦茲核燃料濃縮工廠的科學(xué)家們苦思冥想了幾個(gè)月卻束手無措。他們用試驗(yàn)排除了由機(jī)電故障引發(fā)的可能性，還將工廠的離心機(jī)數(shù)量翻倍，但濃縮鈾的產(chǎn)量仍然停滯不前，甚至每況愈下。

終于，他們?cè)谝慌_(tái)裝有控制軟件的電腦上發(fā)現(xiàn)了帶有惡意軟件的 U 盤。事實(shí)證明，長期以來，一個(gè)名為震網(wǎng)的秘密軟件一直在暗中干擾，病毒最終導(dǎo)致 1000 臺(tái)鈾濃縮離心機(jī)廢棄，直接摧毀了伊朗“核計(jì)劃”。

這次攻擊之所以能得逞，與 0day（零日漏洞）息息相關(guān)。

所謂 0day，一種沒有補(bǔ)丁、應(yīng)對(duì)措施，只有少數(shù)攻擊者知曉的漏洞。安全人員只有知道并努力分析之后，才能發(fā)布包含必要補(bǔ)丁的更新——制造出防衛(wèi)的“武器”。

可怕的是，震網(wǎng)設(shè)計(jì)者精心構(gòu)置了微軟操作系統(tǒng)中 4 個(gè)在野 0day 漏洞，并和工控系統(tǒng)的在野 0day 漏洞進(jìn)行組合，以實(shí)現(xiàn)精準(zhǔn)打擊、定向破壞。

這是在賽博世界上濃墨重彩描下一筆的具有超級(jí)破壞性的網(wǎng)絡(luò)武器。如果說，世界上還有什么比核武器更厲害的武器，只有網(wǎng)絡(luò)武器可以給出答案。

靠 0day 實(shí)現(xiàn)的“網(wǎng)絡(luò)武器”是尖刀上的刀尖，在防守方察覺并找到對(duì)抗方法前，手握 0day 武器的攻擊者所向披靡。

一個(gè)叫做冰刃實(shí)驗(yàn)室的團(tuán)隊(duì)可能拯救被 0day 威脅的賽博世界。

Digtool 的鋪墊

兩年前，雷鋒網(wǎng)曾介紹過一個(gè)有趣的“工具”，這個(gè)工具的牛逼之處在于，由于微軟沒有提供源碼，Windows 系統(tǒng)的漏洞挖掘不容易，人工挖掘需要逆向分析。但是由冰刃實(shí)驗(yàn)室研發(fā)的一款名叫 Digtool 的工具可以自動(dòng)挖掘 Windows 漏洞，極大解放安全人員的勞動(dòng)力。

當(dāng)時(shí)，該工具的開發(fā)人之一 、360 冰刃實(shí)驗(yàn)室負(fù)責(zé)人潘劍鋒告訴雷鋒網(wǎng)，Digtool 可以記錄內(nèi)存訪問等行為日志，這是“挖沙”，進(jìn)而，Digtool 的分析模塊會(huì)進(jìn)行分析，一旦符合主要的六種漏洞行為特征規(guī)則，便實(shí)現(xiàn)了一次“淘金”，也就意味著找到一個(gè)漏洞。

簡單來說，Digtool 的任務(wù)就是像獵犬一般嗅探，發(fā)現(xiàn)獵物的蹤跡。

但是，Digtool 畢竟是機(jī)器程序，不是獵犬，它察覺“獵物”痕跡的方法只有靠“勤勞”，因?yàn)槌绦虻倪\(yùn)行會(huì)有大量路徑產(chǎn)生，Digtool 不斷嘗試從 A 點(diǎn)到 B 點(diǎn)的可能路徑，就像那個(gè)把巨石一直推向山頂，巨石掉落，又往山頂推的人，只是嘗試一百種、甚至一千種推石頭上山頂?shù)姆椒ā?/p>

就是靠著異常的勤奮和努力，Digtool 嘗試了數(shù)不清的“通道”，才可能找到通向“漏洞”的路徑，發(fā)現(xiàn)了“這條不尋常的路徑”后，Digtool 在這條路上找到異常行為的“證據(jù)”，才算真的捕獲“漏洞”。

這是 Digtool 包含的兩條重要的工作路徑：“路徑探測(cè)模塊”和“錯(cuò)誤檢測(cè)模塊”。

當(dāng)時(shí)，大家都很開心，這個(gè)工具與谷歌知名研究團(tuán)隊(duì) Project Zero 制造出來的自動(dòng)挖掘漏洞工具一樣酷炫狂拽吊炸天，“跑一局游戲，十幾個(gè)漏洞就挖到了”。

第二朵“花”

誰也沒想到，兩年后，Digtool 的第二條路徑開出了新的“花”。

冰刃實(shí)驗(yàn)室造出的工具讓安全人員在挖掘一般漏洞上，省了很多力氣，但他們還想要更多。

發(fā)掘 0day 漏洞很難，也有很強(qiáng)的偶然性，冰刃實(shí)驗(yàn)室思考，能否把目標(biāo)放在追蹤利用 0day 的攻擊上，畢竟任何攻擊都會(huì)留下蛛絲馬跡，縮短發(fā)現(xiàn) 0day 攻擊的“時(shí)間差”，就意味著安全人員可以盡快找到防守的辦法，堵上這條路，0day 的威力將大打折扣。

Digtool 能找出異常行為的“證據(jù)”，從而捕獲漏洞給了潘劍鋒新的思考：Digtool 的兩大組成部分“路徑探測(cè)模塊”和“錯(cuò)誤檢測(cè)模塊”也是在虛擬機(jī)上運(yùn)行，錯(cuò)誤檢測(cè)模塊能檢測(cè) Digtool 自己跑出來的路徑中的漏洞，自然也能檢測(cè)黑客發(fā)現(xiàn)的漏洞——只要在監(jiān)控之下運(yùn)行漏洞利用程序即可，因此，錯(cuò)誤檢測(cè)模塊是否可以作為探測(cè)器？

0day 漏洞攻擊分為觸發(fā)、利用、運(yùn)行三個(gè)階段，只要在三個(gè)階段布置探測(cè)器就能發(fā)現(xiàn)攻擊。

順著這一思路，冰刃實(shí)驗(yàn)室把錯(cuò)誤檢測(cè)模塊改造成了探測(cè)器。不過，Digtool的錯(cuò)誤檢測(cè)模塊在被改造前只為六種漏洞提供了探測(cè)器，但冰刃的目標(biāo)是覆蓋盡量多的漏洞類型，因此，冰刃團(tuán)隊(duì)又打造了大量的探測(cè)器。

探測(cè)器有了，但是對(duì)系統(tǒng)的某些探測(cè)、監(jiān)控能力需要借助虛擬化技術(shù)才能達(dá)到，也就是說，探測(cè)器要想有效發(fā)揮作用，必須有“藥引”，因?yàn)楹芏嗟穆┒蠢眯袨椋缑舾兄噶钚蛄?，靠普通的監(jiān)控程序如系統(tǒng)驅(qū)動(dòng)根本拿不到。

簡單來說，它的運(yùn)行過程跑了哪些地址和指令，你根本看不到，但是利用虛擬化技術(shù)可以讓這個(gè)“黑盒子”變得透明，從而發(fā)現(xiàn)一些程序到底下達(dá)了哪些指令，經(jīng)過了哪些路徑，從而可以迅速還原并捕獲一個(gè)看不見的“漏洞”。

因此，冰刃實(shí)驗(yàn)室想到了制造出一套針對(duì)安全需求的虛擬機(jī)系統(tǒng) ILSVM。

巧妙地將 Digtool 的錯(cuò)誤檢測(cè)模塊改造成探測(cè)器，并制造出專門針對(duì)安全的虛擬機(jī)系統(tǒng)無疑是很難的，更難的是，要讓這種“捕獲工具”可以被應(yīng)用在無數(shù)終端上，讓英雄有用武之地，能在現(xiàn)實(shí)環(huán)境落地。

達(dá)到這個(gè)目標(biāo)至少要解決三個(gè)問題。

第一，這個(gè)工具吭哧吭哧地跑起來，既要高性能，但也不能消耗了系統(tǒng)的馬力，耽誤用戶干正經(jīng)事。

第二，大家用著各種版本的系統(tǒng)，用戶環(huán)境這么復(fù)雜，就像每戶人家裝修得都不一樣，怎么保證這個(gè)工具在每個(gè)人家里都能放得下并且用得上？

第三，在用戶的機(jī)器上，面對(duì)真實(shí)環(huán)境，這個(gè)工具能抓到一些漏洞的“現(xiàn)行”，但畢竟環(huán)境有限，如果想達(dá)到更高級(jí)別的監(jiān)控，用戶的機(jī)器可能滿足不了這樣的探測(cè)需求，這時(shí)能找到沙箱“外援”，提供對(duì)更多類型的漏洞的監(jiān)控嗎？

潘劍鋒用冰刃安全虛擬機(jī)解決了這三個(gè)問題。這套從零設(shè)計(jì)開發(fā)的以實(shí)現(xiàn)安全檢測(cè)與防御特性為主的全新輕量級(jí)虛擬機(jī)系統(tǒng)是目前國內(nèi)乃至世界上唯一能在客戶終端默認(rèn)實(shí)時(shí)開啟的安全虛擬機(jī)系統(tǒng)，它守衛(wèi)在每一個(gè)終端上，默默拿起“望遠(yuǎn)鏡”，守望每一個(gè)異常進(jìn)程，不畏懼每一個(gè)未曾現(xiàn)世過的攻擊，并保持跟蹤與記錄。

甚至，這是冰刃團(tuán)隊(duì)在Windows 10 RS3開始使用多種技術(shù)對(duì)抗監(jiān)控類虛擬機(jī)的前提下，成功建造的一個(gè)全球唯一對(duì)其繞過、保持對(duì)操作系統(tǒng)有效透明監(jiān)控的虛擬機(jī)系統(tǒng)。

如果想捕獲更多類型的漏洞利用攻擊，還可以延展這套系統(tǒng)的能力，將 ILSVM 的核心安全能力復(fù)制到 KVM虛擬機(jī)之上建立多維沙箱，將大量虛擬化新型探測(cè)器部署于多個(gè)維度上。

讓系統(tǒng)部署在客戶端，不斷探測(cè)真實(shí)攻擊路徑，借用沙箱擴(kuò)大對(duì)不同類型的漏洞利用攻擊的感知，冰刃團(tuán)隊(duì)還要借助云端的分析能力實(shí)時(shí)分析。這三部分結(jié)合起來，就是冰刃實(shí)驗(yàn)室構(gòu)造出來的可以捕獲 0day 的全新“雷達(dá)”，又名“全視之眼”。

反思

事實(shí)上，潘劍鋒告訴雷鋒網(wǎng)，能部署到客戶端的虛擬機(jī)系統(tǒng)早在 2012 年已經(jīng)研發(fā)成功，并在數(shù)千萬安全衛(wèi)士的終端上盡忠職守已達(dá)七年。

如上文所介紹的，針對(duì)安全需求研發(fā)的全新虛擬機(jī)系統(tǒng) ILSVM 另一核心思路 Digtool 的“機(jī)制”也于兩年前誕生。

協(xié)助“雷達(dá)”分析、判斷的大數(shù)據(jù)更可以追溯到多年前就誕生的安全衛(wèi)士打下的基礎(chǔ)。

少了哪一步，“全視之眼”都不可能鍛造成功。但更可貴的，可能還在于安全研究者的堅(jiān)持與巧思，以及對(duì)抗不可能的決心。

用 0day 制造的網(wǎng)絡(luò)武器固然可怕，但安全守衛(wèi)者捍衛(wèi)賽博世界的安全，與時(shí)間差賽跑爭分奪秒的勇氣，是除了“全視之眼”外，對(duì)抗“核武器般”的網(wǎng)絡(luò)武器更重要的反擊。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。