近日，Microsoft在其浏览器Internet Explorer中修复了一个与内存损坏有关的0day安全漏洞，此漏洞被标记为：CVE-2021-26411。攻击者利用该漏洞可以欺骗用户访问一个精心设计的恶意网站，达到远程执行代码的目的。

而且，该漏洞也曾被黑客组织用于实施APT攻击。此情况下，如何有效的防止0day漏洞、APT攻击，确保企业应用安全运行，是我们今天探讨的重点。

一、 漏洞是很危险的存在

本文讲的Internet Explorer内存破坏漏洞涉及到0day和APT攻击两种安全威胁，那么我们来简单分享一下两类安全攻击的危害。

APT攻击指的是高级可持续威胁攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。通常来讲，攻击者利用网络钓鱼诈骗、应用程序漏洞等作APT攻击的切入点，从而获取目标网络的访问权限。最终实现恶意软件把敏感数据存储在登录服务器上。然后，数据被泄漏到外部服务器，造成目标网络破坏。并且在下一次攻击时重复该过程，持续进行威胁攻击。

0day漏洞顾名思义是"未公开的漏洞"，是很难提前预防的，它的出现又会涉猎到业务程序或系统甚至是硬件的方方面面。大多数情况下0day漏洞很少被立即发现，通常需要数日及以上。同样0day漏洞由于不同复杂性和破坏性其价值也有很大差异化。而且，利用0day漏洞攻击可以避开传统的安全解决方案，攻击者利用漏洞对特定目标实施入侵行为，进而在受害终端上执行恶意代码最终实现"获利"目的。

0day漏洞具有"未公开""未知""0时差"等特性，这些特性足以在网络上发生肆意的攻击，对于数字时代下的企业来讲，这简直是一场完全不对称的、无形的战役。

二、 如何进行攻击？

对漏洞威胁只有足够的了解攻击方式之后，才能更针对性的做出相应的安全防御。APT攻击和0day漏洞的攻击方式如下：

1、APT攻击

APT攻击的全部目的是获得对系统的持续访问，黑客通过五个阶段来实现这一目标。

• 第一阶段：获得访问权限

  就像窃贼用撬棍强迫打开一扇门一样，黑客通常会通过网络，受感染的文件，垃圾邮件或应用程序漏洞进入网络，从而将恶意软件插入目标网络。

• 第二阶段：建立立足点

  黑客植入恶意软件，该恶意软件允许创建后门和隧道网络，这些后门网络和隧道用于在未被发现的系统中四处移动。该恶意软件通常采用诸如重写代码之类的技术来帮助黑客掩盖其踪迹。

• 第三阶段：深化访问

  一旦进入内部，黑客就可以使用诸如密码破解之类的技术来获取对管理员权限的访问权限，以便他们可以控制更多的系统并获得更高级别的访问权限。

• 第四阶段：横向移动

  黑客拥有管理员权限，可以深入系统内部，黑客可以随意移动。他们还可以尝试访问其他服务器和网络的其他安全部分。

• 第五阶段：寻找、学习和保持

  黑客从系统内部全面了解了它的工作方式及其漏洞，使他们可以随意收集所需的信息。黑客可以尝试（可能无限期地）保持此过程的运行，也可以在达到特定目标后退出。他们通常会留下后门，以便将来再次访问该系统。

2、0day漏洞

攻击者利用0day漏洞利用攻击的方式同样具有多样化特点：

• 一、利用文档漏洞，通过钓鱼电子邮件附带的文件(如微软Office文档，Adobe pdf，或其他软件可执行文件或组件)嵌入逃避检测的脚本、宏或其他恶意程序。

• 二、利用软件漏洞,软件存在的错误配置或引用第三方开源程序组件，由于业务本身需要对外提供网络访问行为，攻击者同样可以利用软件程序漏洞实现漏洞利用攻击。

• 三、利用系统漏洞，系统漏洞频发，也是当前遇到较多一种。

• 四、利用硬件漏洞，路由器、安全设备固件、VPN设备等，虽然在漏洞挖掘上难度系数较高，但依旧无法确保没有新漏洞的产生。

0day漏洞出现涉及的方面还有很多，似乎其出现只是时间的问题，针对0day漏洞防御滞后性问题依旧是当前防御一个重点。

三、通过内存保护进行安全防御

相较于以往，如今的攻击手段愈发的先进、持久、有效。同时，攻击者在入侵实施阶段往往会用到内存攻击、无文件攻击等攻击手段，以绕过传统安全产品的防护。APT攻击、0day漏洞往往会促成此类攻击的成功，对企业造成严重的危害。

安芯网盾内存安全产品具备运行时的安全防护能力，提供漏洞防御、数据保护、威胁防御三大防御能力，对威胁进行实时检测与拦截，从而确保企业的数据安全。

1、通过映射应用的合法执行路径来达成实时检测并阻止攻击的目的。执行过程中的任何异常都是遭到攻击的迹象，内存安全产品能够在微秒级阻止漏洞利用。

2、通过硬件虚拟化技术对内存中关键业务进行打点，深入内存层级检测他们在运行时的实际执行情况。并通过对业务的关联分析，监控应用对业务相关内存数据的多读、挂钩、篡改等行为，确保用户核心业务应用程序只按照预期方式运行，不会因为病毒窃取、漏洞触发而遭受攻击，切实有效保护核心数据资产不被窃取。

3、在内存级别监控应用程序进程，并确保它们保持在合法的执行/控制流上。还提供精确的上下文细粒度行为分析，可深入应用程序进程内部，感知识别进程的危险性，通过这种方式确保应用程序的执行完整性，从而能够有效防护0day 攻击、APT攻击等。

4、内存安全产品同样具有内存缓存数据保护、恶意代码防范、漏洞利用监控、内核环境检测等安全能力，当黑客在实施APT攻击过程中执行一些恶意动作时，内存安全产品则可以对其进行实时检测及拦截。

专家点评

#内存安全知名专家WHYF

诸如Internet Explorer内存破坏漏洞还有很多，甚至更严重的漏洞可能允许远程执行代码，导致攻击者获得与登录用户相同的特权，产生更严重的安全后果。内存保护可以很好的解决此类威胁，确保企业业务的正常运行。

参考资料： https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-26411