攻擊者入侵終端的手段可謂層出不窮：社會(huì)工程、網(wǎng)絡(luò)釣魚(yú)、惡意軟件、零日漏洞、惡意廣告、勒索軟件，甚至最近的加密貨幣劫持行動(dòng)也只是攻擊者花招多樣性與復(fù)雜性的少數(shù)例子。不過(guò)，雖然表面上看這些攻擊可謂花團(tuán)錦簇多姿多彩，其中一些卻有著類(lèi)似的特征，依賴(lài)少數(shù)同樣的方法入侵終端和數(shù)據(jù)。比如說(shuō)，零日漏洞就是很常見(jiàn)的入侵途徑。某種程度上，用以侵入系統(tǒng)的方法仍然保持了其歷史沿襲性，這有部分原因是由于，無(wú)論實(shí)際惡意軟件載荷或攻擊者的最終目標(biāo)是什么，這些方法依然非常有效。

內(nèi)存篡改是痛點(diǎn)

利用零日漏洞或未修復(fù)漏洞的內(nèi)存篡改是攻擊者的首選武器，因?yàn)榭梢员荛_(kāi)傳統(tǒng)的安全解決方案，在受害終端上執(zhí)行惡意代碼。攻擊者一直以來(lái)都在使用這些漏洞侵害目標(biāo)系統(tǒng)，或者通過(guò)網(wǎng)頁(yè)掛馬和惡意廣告，或者通過(guò)受感染的電子郵件附件。

漏洞有趣的地方在于，操作應(yīng)用內(nèi)存的時(shí)候，它們其實(shí)只使用少數(shù)幾種內(nèi)存篡改技術(shù)，無(wú)論這些漏洞看起來(lái)有多復(fù)雜或多關(guān)鍵。但不幸的是，傳統(tǒng)安全解決方案往往缺乏保護(hù)終端內(nèi)存空間的能力，僅重視保護(hù)存儲(chǔ)在磁盤(pán)上的文件。

該傳統(tǒng)安全解決方案的痛點(diǎn)意味著，黑客可以重復(fù)利用這些同樣的漏洞，頻繁投送各種攻擊載荷，直到其中之一繞過(guò)安全解決方案的審查。鑒于攻擊載荷從勒索軟件到鍵盤(pán)記錄器再到加密貨幣挖礦軟件都有，利用漏洞執(zhí)行的內(nèi)存篡改就特別有效了。

更糟的是，有些攻擊者還使用漏洞利用工具包，也就是流行應(yīng)用已知漏洞利用程序的集合，比如Java、Adobe Reader、瀏覽器和操作系統(tǒng)的漏洞，來(lái)自動(dòng)探測(cè)終端，查找已知脆弱軟件，投送惡意載荷。盡管某些廣為流傳的通用漏洞利用工具包，比如Angler和Rig，已經(jīng)被司法部門(mén)封禁，網(wǎng)絡(luò)罪犯仍可依靠?jī)?nèi)存篡改漏洞作惡。

內(nèi)存保護(hù)

一個(gè)很明顯的問(wèn)題是：你怎么保護(hù)內(nèi)存空間不受漏洞操縱?可以采用提供反漏洞利用功能的客戶(hù)機(jī)內(nèi)置式下一代層次化安全解決方案。攻擊者常會(huì)利用面向返回編程(ROP)技術(shù)劫持程序控制流執(zhí)行已有特定指令，反漏洞利用技術(shù)正是通過(guò)監(jiān)測(cè)ROP，來(lái)封堵ROP鏈中的內(nèi)存執(zhí)行及其他漏洞利用中常用的堆棧操作技術(shù)。

然而，隨著虛擬化和云基礎(chǔ)設(shè)施的鋪開(kāi)，同一主機(jī)/硬件上托管多臺(tái)客戶(hù)機(jī)或多個(gè)操作系統(tǒng)的現(xiàn)象越來(lái)越普遍。有些技術(shù)可以嵌入硬件層和操作系統(tǒng)層之間，在不影響性能的情況下保護(hù)所有客戶(hù)機(jī)的內(nèi)存。

內(nèi)存自省技術(shù)完全獨(dú)立于操作系統(tǒng)，能高效抵御漏洞相關(guān)的已知和未知內(nèi)存篡改手法。由于其與操作系統(tǒng)完全隔離，也就完全不受客戶(hù)機(jī)內(nèi)部威脅的侵?jǐn)_——無(wú)論該威脅有多么高端，但同時(shí)還具有對(duì)每個(gè)虛擬工作負(fù)載內(nèi)存的完整可見(jiàn)性。

利用裸機(jī)監(jiān)管程序，內(nèi)存自省技術(shù)可為虛擬基礎(chǔ)設(shè)施提供額外的安全層，防止黑客利用零日漏洞或未修復(fù)漏洞進(jìn)行的攻擊。與關(guān)注實(shí)際攻擊載荷的傳統(tǒng)方法不同，內(nèi)存自省技術(shù)專(zhuān)注于初始攻擊點(diǎn)。

舉個(gè)例子，如果攻擊者試圖利用 Adobe Reader 零日漏洞釋放加密貨幣挖礦軟件、勒索軟件或鍵盤(pán)記錄器，內(nèi)存自省技術(shù)就會(huì)在攻擊者嘗試篡改內(nèi)存以提權(quán)的時(shí)候就加以阻斷。這意味著該攻擊殺傷鏈會(huì)在任何攻擊載荷被釋放或?qū)A(chǔ)設(shè)施的傷害造成前就被切斷。

超越終端的安全

無(wú)論是虛擬終端還是實(shí)體終端，都仍然在公司企業(yè)中扮演著舉足輕重的角色，安全團(tuán)隊(duì)需全面照管到這些基礎(chǔ)設(shè)施，在不影響性能和業(yè)績(jī)的情況下保證它們的安全。軟件定義的數(shù)據(jù)中心、高度聚合的基礎(chǔ)設(shè)施，還有混合云環(huán)境，已經(jīng)改變了公司運(yùn)營(yíng)的方式和范圍。但安全的重心還是放在了實(shí)際終端上，比如虛擬桌面基礎(chǔ)設(shè)施(VDI)和虛擬專(zhuān)用服務(wù)器(VPS)。

高級(jí)威脅往往會(huì)利用安全盲點(diǎn)，我們有必要重構(gòu)安全解決方案，以適應(yīng)企業(yè)在基礎(chǔ)設(shè)施、性能和擴(kuò)展性上的新需求。操作系統(tǒng)內(nèi)外的安全技術(shù)最好能盡量靠近虛擬機(jī)監(jiān)管程序，這樣有利于防止用以投送高級(jí)持續(xù)性威脅或加密貨幣挖礦機(jī)和勒索軟件之類(lèi)惡意威脅的內(nèi)存篡改技術(shù)，還可避免遭受經(jīng)濟(jì)和信譽(yù)上的損失。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文