“应用程序加固”防御IE、OFFICE的0day攻击

朋友的天空 · 发表于 2009-7-21 16:36:48

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？注册

x

瑞星研发工程师致用户公开信4——“应用程序加固”防御IE、OFFICE的0day攻击

瑞星2010RIS已经开始公测，经过第一阶段的测试，大家应该可以体验到10版在防范、查杀病毒方面的进步。10版的功能设计上是根据我们的整体防御思想进行设计的。互联网上最流行的病毒感染方式是挂马，这部分的攻击通过防挂马基本可以拦截。另外一类就是利用应用程序本身的漏洞进行攻击，例如利用office的漏洞，当运行恶意的word文档时会自动释放病毒进行盗窃行为。

应用程序加固是10版的一个新功能，在第一次安装的时候，会扫描出用户计算机系统内有哪些程序需要加固。就是当一个应用程序启动后，我们检测他的不正常行为（例如：word.exe 不会去执行一个启动rundll.exe的操作），如果发现有这个不正常行为我们会默认阻止。这对于一些存在大量文档类工作的人群是非常有帮助的，比如一些国家政府机关，网络是内外分开的，平时通过外网感染病毒的几率较小。但有大量的文档操作，如果运行的word文档被黑客恶意修改后，就能通过word盗取或破坏机关内的重要信息。

应用程序加固功能是针对一些被病毒经常利用，作为入侵途径的应用程序，通过监控它们的操作行为，确定是否存在恶意代码利用它们的防御脆弱点进行入侵，并阻止正在进行的入侵行为从而达到病毒防御的目的。

应用程序的防御脆弱点主要是指这些应用程序存在的漏洞。病毒传播者通过构造特定的数据导致应用软件改变正常的执行流程，使得这块特定数据中的恶意代码（通常称之为Shellcode）能够执行。这段恶意代码通常并不会现实太多的破坏功能，只是为运行真正具有破坏功能的病毒文件做准备工作。如果我们把病毒入侵然后产生破坏看作一个鞭炮，Shellcode可以认为是这个鞭炮的引子，应用程序加固的作用就是监控这个鞭炮的引子是否点燃并阻止鞭炮爆炸。

针对不同类型的应用程序漏洞，Shellcode产生的行为会有些不同。比如：浏览器类的应用程序，Shellcode执行后通常会下载病毒文件并将它们运行；而文档类的应用程序，Shellcode执行后通常会释放存在文档文件中的病毒并将它们运行。以上这两个例子并不是Shellcode行为的全部，然而正如前面提到的Shellcode大部分情况下只是引子，其最终目的就是为了运行真正的病毒文件，为了达到这一的目的，Shellcode会使应用程序产生一系列的非正常行为。应用程序加固正是抓住了这一机会，对病毒入侵的行为进行阻止。