关于文件格式溢出
(2008年04月)文/江海客
本月值得关注的是MS修补的漏洞列表中有几个Office相关漏洞,所以把这件事作为本月的关注重心,是因为微软在3月11日修复这些漏洞的,但至少在2月28日,已经有反病毒公司捕获了使用相关漏洞能造成excel 2003溢出的xls文件样本,可谓货真价实的0day。其中值得关注的社交工程手段是用2008年奥运会议程表作为内容掩护。
静态溢出由于是一种反客为主的攻击方式,其非常依赖解析其的应用程序的版本,因此失败率较高。但静态格式溢出可以让攻击表现出较好的定向性。当对被攻击者信息有足够了解时候,由于其迷惑性,反而可能有更高的成功率,并降低被检测的可能。
同时攻击者也可以采用一种广种薄收的攻击方式,但如果散步的面足够大,还是会产生足够的受害者。
静态格式溢出的泛滥是否给安全开发者带来新的方向和机遇呢,从防御的方向,并非很乐观,这并不是说没有足够的实现可能,真的得问题在于,一些实验表明无论对于最新的Office文件格式漏洞,还是当初非常有效的ANI格式溢出漏洞,从XP SP2开始预制在系统中的DEP保护机制对此都有很强的遏制能力。一些SP2乃至Vista用户感染,其实是由于MS的默认策略是仅对基本Windows程序执行DEP保护。
相反,我觉得如果把错误注入的思想应用于格式溢出漏洞发现的安全测试程序可能会有市场,并且具有实现的可能性,建立在代码流分析的角度,毕竟对结构体的解析,与真正的内容读取的指令序列的区别还是可以判别。如果能引入错误注入机制,则可能推动相关挖掘方法也可能被模式化起来。
本月,一种被称为GVPL(General Virus Process Language,通用病毒处置语言)的脚本标准在网上被公开,一个具有古怪名字的解释器Ecliptic也同时发布。在对其的争论中,赞同者说,假如你在你系统上发现了木马,却处理不掉,而提交给反病毒公司却没人理你,也许你就需要这个东西。而质疑者则说,GVPL显然出自当今AV从业者的手笔,开放这样的接口出来,是否说明反病毒行业已经对病毒样本数量的急剧膨胀失去希望,而放任反病毒回到Debug小程序的DIY时代。
扫一扫
7233
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
