首页 > 信息安全 > 正文

KHOBE攻击技术:内核绕过风险or只是大惊小怪?

2010-07-27 12:32:41  来源:Nick Lewis

摘要:本文主要说明了作为企业的安全专家应当从KHOBE中学到什么知识,以及如何确保攻击者无法利用KHOBE技术对企业发起攻击。
关键词: KHOBE攻击 内核

  最近发现的KHOBE攻击技术可能是最引人注意的安全热点了,但这并非因为它造成了多大的损害,而是由于其重要性所引发的广泛争议。

  KHOBE表示的含义是内核挂接绕过引擎(kernel hook bypassing engine),它是在2010年5月5日由Matousec安全研究小组发现的。这一发现引发了媒体的强烈关注,安全专家分为两方:要么声称该攻击技术将带来多么严重、多么可怕的威胁,要么痛斥这种技术。不过这两方均提到了合法性的问题,但要想理解该研究对企业有多大的影响,那么分析所处的环境至关重要。

  事实上,虽然类似的攻击技术在以前的报道中已经出现过,但KHOBE对过去的攻击技术进行了改进(ESET在最近发表的博文中提到了这一点)。在本文中,我们将说明作为企业的安全专家应当从KHOBE中学到什么知识,以及如何确保攻击者无法利用KHOBE技术对企业发起攻击。

  KHOBE攻击介绍

  总的来说,KHOBE攻击是一种“检查时间”和“使用时间”之间典型的竞争状态。主机上运行的安全软件进行代码扫描,发现恶意软件或数据是安全的,但在数据被使用或恶意软件运行之前,恶意代码就已经包含在安全代码中或与安全代码进行了互换,以便悄悄地进行攻击。在KHOBE攻击中,已在系统上运行的恶意软件会将无害的代码交付给主机安全软件进行扫描或检查。检查完之后,最初的恶意软件就会实施KHOBE攻击,用恶意代码替代无害代码实际运行,从而实施恶意攻击,就像安装任意的恶意软件或rootkit以控制整个系统一样。

  KHOBE技术使用内核挂接,使得上述代码能够互换,从而直接操纵软件运行所使用的内核数据(或用户数据)。内核挂接方式(自Windows Vista引入Patchguard后微软就不再支持此方式)能够在Windows操作系统上控制代码的执行,采用了此方式的软件均被Matousec视为有漏洞的类型。内核挂接绕过技术是将自身插入到代码执行的过程中,以改变对代码执行的控制权。竞争状态的问题在于:安全软件一旦检查到了潜在的恶意代码,就会核查该代码是否恶意,被检查的代码将是可以执行的代码,并且在执行前它不会再被改变;但在KHOBE技术中却并非如此。Matousec报道,Windows XP和Windows 7在安全上都有漏洞,这使得许多安全软件也受到了影响,主要包括主机入侵防御系统(HIPS)和一些反恶意软件。

  不过,在目标系统上攻击者只有控制恶意软件,才能使KHOBE技术可以实施有效的内核绕过,认识到这一点非常重要。KHOBE攻击技术还需要相当大的代码量才能正常工作,并且这些代码极有可能无法包含在漏洞利用程序的shell code中,而是与其它的恶意软件结合在一起。正如我们在下文中将要阐述的,这就是为什么KHOBE的批评者说,它的攻击适用范围有限。它依赖于其他的漏洞利用程序,但就它本身而言对攻击者来说并没有多大用途。

  来自KHOBE攻击技术的安全威胁

  虽然有些人可能会争论说KHOBE攻击技术构成了重大的安全风险,但关键问题是,代码需要在系统上运行,这样才能利用内核挂接绕过技术来实施攻击。最大的威胁之一是KHOBE式的攻击可以与绕过主机反恶意软件或其它安全软件的零日攻击(zero-day attack)配合起来使用,然后可继续使用KHOBE从而造成更大的破坏。通过在初期加载额外的恶意软件以充分控制系统,这种一般的攻击类型相当普遍。虽然KHOBE技术并不是唯一采取该方法进行攻击的技术,但KHOBE是这种攻击的最新形式。

  虽然KHOBE攻击技术目前对现实世界的影响是微乎其微的,但可以想象攻击者未来肯定会将KHOBE与零日攻击(zero-day attack)配对使用,从而攻击任何有漏洞的应用程序。由于KHOBE攻击已被大家熟知,它甚至有可能会被包含在更普遍的攻击工具包或脚本攻击中,这使得部署补丁的工作更加紧迫(减弱潜在的攻击)。

  针对KHOBE攻击技术,企业的防御策略

  在这一点上,企业的防御策略相当直截了当,因为KHOBE仍然处于概念验证 (proof-of-concept)阶段,在现实世界中并没有被发现。你应该按照公司标准的反恶意软件保护策略进行防御,一旦更新发布,请尽快更新公司的反恶意软件。

  对于其它安全软件,你可能希望更加深入地研究软件所带的漏洞,特别是在你没有安装其它反恶意软件来保护系统的时候,更应该这样做。例如,如果你使用的HIPS有漏洞,同时你也使用了其它的反恶意软件,那么HIPS软件可能会被禁用,而反恶意软件则会保护你的系统。因此,如果反恶意软件仍然在保护你的系统,那么可能你还不需要立即更新HIPS软件。各家反恶意软件公司还发布了最新的数字签名来发现攻击,所以即使漏洞的初步利用是有效的,KHOBE攻击代码也不能在主机系统上运行。而一些软件供应商正对自己的产品进行更新,以禁止内核挂接技术,从而堵住漏洞。

  尽管KHOBE攻击技术的批评者发表了一些评论,但对以Windows为中心的企业而言,KHOBE仍然是一个需引起重视的技术。同时,安全软件供应商也应尽快给有漏洞的安全软件打补丁。虽然企业和供应商都应该确保他们的安全软件没有漏洞并能对其提供保护,但就目前来看KHOBE攻击技术还掀不起什么大浪。


第三十二届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编: