今年3月，Google員工Tavis Ormandy?曾對(duì)外披露了Chrome瀏覽器中存在的零日漏洞——該漏洞允許黑客使用瀏覽器中加載的惡意PDF文檔來(lái)獲取個(gè)人數(shù)據(jù),，彼時(shí)Google官方曾表示修復(fù)方案會(huì)在4月底發(fā)布,。

然而在 90 天的修復(fù)截止日期后，微軟安全響應(yīng)中心（MSRC）卻在6月11日表示“由于測(cè)試中發(fā)現(xiàn)問(wèn)題,，在7月前也不會(huì)修補(bǔ)好”,，于是Ormandy在近日選擇公開(kāi)了零日漏洞隱藏的一個(gè)新Bug：該漏洞可以讓黑客們輕松地拆除整個(gè)Windows機(jī)群，且微軟仍處于可能被攻擊的狀態(tài),！

零日漏洞,，一個(gè)獨(dú)特的黑客文化。云師哥今天帶你認(rèn)識(shí)這個(gè)強(qiáng)大又脆弱的武器——零日漏洞,。

?認(rèn)識(shí)零日漏洞

“零日漏洞”(zero-day)又叫零時(shí)差攻擊,，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞，即安全補(bǔ)丁與瑕疵曝光的同一日內(nèi),，相關(guān)的惡意程序就出現(xiàn),。這種攻擊往往具有很大的突發(fā)性與破壞性。

通俗易懂地講...

零日漏洞就是供應(yīng)商尚未修復(fù)的安全漏洞,，可被攻擊者轉(zhuǎn)化為強(qiáng)力武器加以利用,。出于軍事、情報(bào)和司法目的,，某些政府會(huì)找尋,、購(gòu)買(mǎi)和使用零日漏洞,。但這種操作頗引爭(zhēng)議，因?yàn)槠渌粽呷舭l(fā)現(xiàn)相同漏洞,，整個(gè)社會(huì)都會(huì)因政府的隱瞞不報(bào)而面臨風(fēng)險(xiǎn),。

零日漏洞到底有多危險(xiǎn)？

早在2011年,，一款名為“Duqu”的木馬被發(fā)現(xiàn),，而它的目標(biāo)是從各工業(yè)設(shè)施的系統(tǒng)廠商處獲取設(shè)計(jì)文件等數(shù)據(jù)信息，用于以后對(duì)各行業(yè)工業(yè)控制系統(tǒng)實(shí)施攻擊,。

在一起攻擊中,，攻擊者正是定向發(fā)送了帶有微軟Word附件的郵件，該Word附件含有當(dāng)時(shí)還未公布的零日核心漏洞,。Duqu的出現(xiàn),，預(yù)示著網(wǎng)絡(luò)攻擊技術(shù)開(kāi)啟了新時(shí)代，攻擊者將有足夠的能力成功實(shí)施工業(yè)間諜活動(dòng),。

2016年8月,，蘋(píng)果IOS系統(tǒng)出現(xiàn)了歷史上最大的漏洞，因?yàn)橘|(zhì)量極高且由三個(gè)零日漏洞組成,，所以命名“三叉戟”,。

用戶(hù)只需要輕輕點(diǎn)擊黑客發(fā)來(lái)的鏈接，手機(jī)就會(huì)被遠(yuǎn)程越獄,。黑客瞬間就能獲得手機(jī)的最高權(quán)限,。眾所周知，蘋(píng)果手機(jī)越獄往往需要幾個(gè)漏洞層層配合才能實(shí)現(xiàn),。但是利用一個(gè)鏈接,，就可以徹底遠(yuǎn)程控制你的 iPhone，在這個(gè)零日漏洞出來(lái)之前這種級(jí)別的 iOS 漏洞,，一直是個(gè)江湖傳說(shuō),。

但如今，不聯(lián)合使用幾個(gè)乃至幾十個(gè)小零日漏洞,，往往都無(wú)法突破 Windows 10 或蘋(píng)果 iOS 等消費(fèi)級(jí)操作系統(tǒng)中的安全緩解措施,，更別提獲取目標(biāo)的完全控制權(quán)了。所以,，當(dāng)前黑市上遠(yuǎn)程執(zhí)行零日漏洞的價(jià)格堪稱(chēng)天價(jià),。

零日漏洞如何防范？

在這個(gè)安全體系環(huán)境之下,，除了需要實(shí)時(shí)更新更種軟件的補(bǔ)丁,，修復(fù)漏洞，盡量縮短零日漏洞在系統(tǒng)和應(yīng)用軟件中的存在時(shí)間,，降低數(shù)據(jù)所面臨的風(fēng)險(xiǎn),，還有以下幾方面工作應(yīng)重點(diǎn)重視：

1,，加強(qiáng)網(wǎng)絡(luò)入侵防御系統(tǒng)建設(shè)

入侵防御系統(tǒng)本質(zhì)上是入侵檢測(cè)系統(tǒng)和防火墻的有機(jī)結(jié)合，對(duì)于網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）而言,，在網(wǎng)絡(luò)環(huán)境中的部署應(yīng)當(dāng)注意對(duì)攻擊的防范，同時(shí)對(duì)于內(nèi)部網(wǎng)絡(luò)環(huán)境而言,，加強(qiáng)數(shù)據(jù)傳輸特征的深入檢查,，力求能夠及時(shí)返現(xiàn)局域網(wǎng)內(nèi)部的攻擊行為，在網(wǎng)絡(luò)邊界方面,，NIPS工作的重點(diǎn)在于執(zhí)行對(duì)于數(shù)據(jù)流的分析,，從傳輸特征和協(xié)議兩個(gè)方面展開(kāi)對(duì)于傳輸請(qǐng)求的檢查，必要的情況下對(duì)網(wǎng)絡(luò)流量施加限制,，便于檢測(cè)出不正常的網(wǎng)絡(luò)傳輸操作,，以及Doss攻擊。

除此之外,，還應(yīng)該加強(qiáng)對(duì)于數(shù)據(jù)簽名的檢查,，考慮零日病毒完全可以在防毒系統(tǒng)創(chuàng)建出簽名之前對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)攻擊，因此只有不斷優(yōu)化簽名監(jiān)測(cè)時(shí)間,，才能切實(shí)將確認(rèn)攻擊的時(shí)間縮短,，提升網(wǎng)絡(luò)安全性。與此同時(shí),，引入NIPS的重點(diǎn)之一,，還在于該系統(tǒng)能夠?qū)崿F(xiàn)持續(xù)對(duì)于局域網(wǎng)內(nèi)部環(huán)境交換和傳輸特征的偵測(cè)，從而發(fā)現(xiàn)可能存在而進(jìn)入內(nèi)網(wǎng)的攻擊,。

2,，加強(qiáng)主機(jī)入侵防御系統(tǒng)建設(shè)

通常來(lái)說(shuō)，主機(jī)入侵防御系統(tǒng)（HIPS）具有規(guī)則,、監(jiān)控以及攔截三方面的主要功能,，一個(gè)妥善配置的HIPS，能夠識(shí)別和記錄用戶(hù)行為,，并且在無(wú)法判斷的時(shí)候?qū)τ脩?hù)做出詢(xún)問(wèn),，而后依據(jù)用戶(hù)指令展開(kāi)進(jìn)一步的工作。

理論上,，HIPS能夠面向用戶(hù)主機(jī)實(shí)現(xiàn)良好的防御,，但是實(shí)際工作中，一方面HIPS需要自行展開(kāi)對(duì)于軟件系統(tǒng)和系統(tǒng)行為的判斷,，不能全部依賴(lài)于對(duì)于用戶(hù)的詢(xún)問(wèn),；另一方面，用戶(hù)本身可能會(huì)因?yàn)閷?duì)計(jì)算機(jī)只是的缺乏,，而對(duì)相關(guān)的詢(xún)問(wèn)請(qǐng)求實(shí)行誤判,，加之零日攻擊會(huì)將攻擊行為加以包裝隱藏,，表現(xiàn)成為合法的傳輸請(qǐng)求，混淆用戶(hù)視聽(tīng),，因此這種判斷實(shí)際上仍然存在不可靠之處,，對(duì)于這一方面，唯有在HIPS的智能化方面加強(qiáng)建設(shè),，才能切實(shí)推動(dòng)系統(tǒng)對(duì)零日攻擊的抵御,。