阿里安全在國際頂會分享蘋果系統核心防禦增強機制 保護使用者系統安全

2016年，蘋果被曝史上最大iOS漏洞“三叉戟”，只要點選一個連結，攻擊者就可透過該漏洞獲得蘋果系統核心的最高許可權。後來，該漏洞被發現用於針對特定目標的真實APT（高階可持續威脅攻擊）行動中，嚴重危害使用者安全。

為了提升使用者系統安全，保護資料隱私，阿里安全獵戶座實驗室總結了一類業界流行的針對於蘋果系統（如iOS和macOS）核心的攻擊方式，並首次提出了一套基於macOS核心的防禦機制“PUSH”。這項由阿里安全研發的新一代安全架構核心技術可自動保護“潛在受害”的蘋果系統，有效對抗業界公開的18個漏洞利用程式，並且發現了1例零日漏洞攻擊。最近，該研究被國際四大安全頂會之一的NDSS2021收錄。

圖說：阿里安全新一代安全架構核心技術成果被國際頂會NDSS2021收錄

自動發現APT潛在攻擊

據國家網際網路應急中心釋出的相關報告，2019年，我國持續遭受來自“方程式組織”“APT28”“蔓靈花”“海蓮花”“黑店”“白金”等30餘個APT組織的網路竊密攻擊，國家網路空間安全受到嚴重威脅，攻擊物件涉及我國重大基礎設施和關鍵政企單位。

APT攻擊一般透過瀏覽器或者軟體漏洞獲取普通使用者許可權，然後透過核心漏洞來突破沙箱（軟體隔離環境）和提升許可權，攻擊者在獲取了目標機器上重要資料後，還會留下後門，長期監控攻擊目標。

該論文第一作者、高階安全專家蒸米介紹，阿里安全獵戶座實驗室提出的這套創新防禦機制可以在攻擊者利用核心漏洞時發現並攔截攻擊，幫助政企單位對抗APT攻擊，保護資料隱私資訊。

根據公開的漏洞利用程式，攻擊者往往透過破壞某些核心物件來控制核心，阿里安全獵戶座實驗室將這種型別的攻擊技術概括為POP攻擊。PUSH會自動定位macOS系統核心中易被攻擊的區域，找到攻擊者採用的破壞途徑，匹配合適的修復方法。“在整個定位與修復過程中，PUSH會將‘容易出現問題的核心部分’引流到檢測模組，相當於構建旁路，不會影響蘋果系統的正常運轉。”蒸米說。

圖說：遇到攻擊時PUSH的防護路徑

2018年蒸米將這項研究同步了蘋果的安全部門。蘋果公司對這一發現表達了感謝，並表示將在蘋果系統中加入相關防護機制，保護系統和使用者的安全。

普通macOS使用者亦面臨安全風險

2019年8月，谷歌安全團隊在發現了針對普通iPhone使用者的惡意網站，這些網站能夠控制受害iPhone使用者的手機，而這些惡意網站正是在利用了“POP”攻擊手段對系統核心進行破壞後才達到了攻擊目的。

同樣的攻擊手段可能發生在macOS等其他蘋果系統當中，普通macOS使用者也面臨同樣的安全風險。

“透過部署PUSH防禦機制，我們能夠有效地發現這種攻擊手段，甚至發現透過未知漏洞開展的駭客攻擊，及時保護使用者的系統安全。”該論文共同作者、安全專家白小龍提醒道。PUSH已經梳理了多種常見的漏洞利用路徑和修復方法，駭客很難繞開這些路徑。所以，即使駭客利用未知漏洞展開這種針對核心的攻擊，PUSH防禦機制也能發現並快速修復漏洞。

據阿里安全獵戶座實驗室負責人杭特介紹，目前阿里已將該防禦機制部署在各種裝置中，針對Windows的相關核心防禦機制也已就緒。

阿里安全資深安全專家、辦公安全負責人自化表示，該成果應用在阿里自身辦公網的雲管端防禦體系，是為了讓阿里的辦公環境預設免疫此類攻擊行為，處於更安全的環境，也從源頭保護使用者資訊保安。“另外，我們也在透過PUSH發現的在野漏洞積極推進廠商修復，改善使用者網路安全環境。”自化說。