漏洞克星?Oday漏洞雷达系统解密

技术宅

·科技公司展示的Oday漏洞雷達系统

让人防不胜防的Oday漏洞

关注系统安全的朋友都知道，我们每个月几乎都要定期安装系统补丁来修补系统漏洞，这些漏洞有些是微软自己测试发现的，有些则是第三方发现的。一般第三方安全专家发现系统漏洞后都会将信息提供给微软，微软技术人员在测试后会提出相应的解决方案，然后定期发布在官网上并推送给用户进行安装，这就是我们每个月都安装的系统补丁（图2）。

那么Oday漏洞又是一种什么样的漏洞？Oday的英文意为“0天”，也就是1天不到的意思，所以早期的Oday即表示在软件发行后的24小时以内就出现破解版本。现在则对这个定义进行了延伸，在信息安全领域，Oday是指系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息，无论被发现多久都称之为Oday漏洞（图3）。

②·Windows 10安装的系统补丁

③·Odayi漏洞

发现和防范——Oday漏洞雷达系统背后的秘密

现在绝大多数Oday漏洞都是一些技术高超的黑客发现的，他们的目的就是利用这些漏洞来实现对目标电脑的攻击或者进行某种破坏活动，比如2009年伊朗纳坦兹核燃料浓缩工厂发生的“震网”病毒就是一次最为著名的Oday漏洞攻击事件（图4）。

④·“震网”病毒攻击图解

不过在安全专家的眼中，即使黑客借助Oday漏洞的入侵攻击也会在系统中留下蛛丝马迹，因此为了及时发现漏洞，安全技术人员通过相应的防御系统来捕捉黑客攻击留下的痕迹。比如安全技术人员开发的一款名为“Digtool”的工具，它可以用来自动发现和挖掘Windows漏洞。它的检测原理类似杀毒软件对未知病毒的检测，安全技术团队首先根据漏洞的特征制定六种行为特征规则，然后将Digtool部署在检测电脑上。这样Digtool会记录内存访问等行为日志，并且通过分析模块对日志进行分析。这样在分析的过程中，如果发现某项内存访问活动符合上述制定的规则，而且这种活动和已知的漏洞攻击不同，那么就判定系统存在未知漏洞（图5）。

为了提高漏洞检查效率，并且在发现漏洞时可以还原攻击行为，技术人员把Digtool中的“错误检测模块”提取出来作为漏洞探测器，同时将其部署在不同虚拟终端进行测试，最终组成可以捕获Oday漏洞的的全新“雷达”系统——Oday漏洞雷达系统。它主要由三部分组成：

一是错误检测模块，它可以对Oday漏洞攻击整个过程进行全面监测，包括漏洞触发、利用、运行这几个阶段，以便发现更多攻击的蛛丝马迹。

二是虚拟机系统ILSVM，这种利用虚拟化技术制作的系统，可以在虚拟机中完整记录一些攻击程序在实际运行中下达的指令、运行的路径、执行的代码等要素，并且借助虚拟机记录进行操作还原，方便技术人员实时分析攻击手段。

三是部署探测系统的多个终端，通过在多个安装虚拟机系统ILSVM的终端部署错误检测模块，这样可以借助众多的终端来不断探测真实攻击路径，同时捕获到各种类型漏洞利用攻击的感知。最终这些数据可以通过云技术实时传输到服务器，技术团队借助云端的分析能力进行分析，从而可以在第一时间发现Oday漏洞。

这样借助这三个组件的无缝衔接，安全技术团队就可以全面感知到Oday漏洞的攻击，并在分析后作出相应的防范。对于严重的Oday漏洞也可以第一时间上报给微软，并通过系统补丁的方式保障广大用户的电脑安全（图6）。

安全防范任重道远

现在网络安全形势日益严峻，虽然借助“Oday漏洞雷达系统”之类的工具可以发现Oday漏洞，不过也不能对这套系统过于神化，因为它的核心是通过分析入侵的特征来进行识别。Oday漏洞的类型非常多并且会不断被黑客们发现，漏洞产生的原因也五花八门，就目前的技术而言要对Oday漏洞进行全面防范还是有一定的难度。因为一些严重的Oday漏洞可以在系统底层发起隐蔽攻击（而且很多Oday漏洞平时并不会被拿出来使用，只是在关键时刻发起对对手的致命一击），一些新型漏洞攻击特征可能和现有的特征规则不同，这些都会影响Digtool的检测。

总之，我们面对的安全形势仍然很复杂，我们期望有更多类似“Oday漏洞雷达系统”的检测系统开发出来，让它们更好地为网络活动保驾护航！