阿里安全苹果系统内核防御研究被国际顶会收录

 2016年,苹果被曝史上最大iOS漏洞“三叉戟”,只要点击一个链接,攻击者就可通过该漏洞获得苹果系统内核的最高权限。后来,该漏洞被发现用于针对特定目标的真实APT(高级可持续威胁攻击)行动中,严重危害用户安全。
 
   为了提升用户系统安全,保护数据隐私,阿里安全猎户座实验室总结了一类业界流行的针对于苹果系统(如iOS和macOS)内核的攻击方式,并首次提出了一套基于macOS内核的防御机制“PUSH”。这项由阿里安全研发的新一代安全架构核心技术可自动保护“潜在受害”的苹果系统,有效对抗业界公开的18个漏洞利用程序,并且发现了1例零日漏洞攻击。最近,该研究被国际四大安全顶会之一的NDSS2021收录。
 
 
 
图说:阿里安全新一代安全架构核心技术成果被国际顶会NDSS2021收录自动发现 APT潜在攻击
 
   据国家互联网应急中心发布的相关报告,2019年,我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击,国家网络空间安全受到严重威胁,攻击对象涉及我国重大基础设施和关键政企单位。
 
   APT攻击一般通过浏览器或者软件漏洞获取普通用户权限,然后通过内核漏洞来突破沙箱(软件隔离环境)和提升权限,攻击者在获取了目标机器上重要数据后,还会留下后门,长期监控攻击目标。
 
   该论文第一作者、高级安全专家蒸米介绍,阿里安全猎户座实验室提出的这套创新防御机制可以在攻击者利用内核漏洞时发现并拦截攻击,帮助政企单位对抗APT攻击,保护数据隐私信息。
 
   根据公开的漏洞利用程序,攻击者往往通过破坏某些内核对象来控制内核,阿里安全猎户座实验室将这种类型的攻击技术概括为POP攻击。PUSH会自动定位macOS系统内核中易被攻击的区域,找到攻击者采用的破坏途径,匹配合适的修复方法。“在整个定位与修复过程中,PUSH会将‘容易出现问题的内核部分’引流到检测模块,相当于构建旁路,不会影响苹果系统的正常运转。”蒸米说。