Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目，并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

企業(yè)威脅專家Nick Lewis解釋了新的Flash堆噴射(heap spray)攻擊技術(shù)的工作原理，并討論了研究人員正在使用的檢測(cè)和降低風(fēng)險(xiǎn)的方法。

[[123603]]

近來(lái)利用“use-after-free”IE零日漏洞的攻擊似乎凸顯了Flash堆噴射(heap spray)檢測(cè)的重要性。為什么攻擊者利用這種技術(shù)?研究人員又應(yīng)該如何檢測(cè)堆噴射(heap spray)?

Nick Lewis：攻擊者在近期的“use-after-free”IE零日攻擊中使用了Flash堆噴射(heap spray)。攻擊者使用該技術(shù)在系統(tǒng)上執(zhí)行惡意代碼，通過(guò)將惡意代碼嵌入已安裝在系統(tǒng)上的軟件易受攻擊的一部分。使用Flash堆噴射(heap spray)，攻擊者可以將惡意數(shù)據(jù)注入記憶堆，一旦易受攻擊的應(yīng)用程序被啟用，就會(huì)訪問(wèn)到堆中任意一個(gè)位置的惡意代碼從而執(zhí)行。

Flash堆噴射(heap spray)是堆噴射(heap spray)的一種，其使用Flash ActionScript將代碼放到操作系統(tǒng)的記憶堆中，以便之后應(yīng)用程序啟用時(shí)觸發(fā)。被惡意Falsh文件所利用的IE瀏覽器漏洞被稱為IE的漏洞功能，該漏洞會(huì)執(zhí)行放置在記憶堆中的惡意代碼。

研究人員正在想辦法檢測(cè)堆噴射(heap spraying)，但考慮到多階段攻擊手法和攻擊中所涉及到多個(gè)不同的文件，想要檢測(cè)到堆噴射(heap spraying)是非常困難的。

Vulnerability Research Team (VRT)寫了一篇博客文章，概述了其檢測(cè)Flash堆噴射(heap spray)攻擊的步驟。步驟中表示調(diào)用零日IE漏洞的惡意功能具體情況還不是很明確，但是如果你只是分析攻擊中所打開(kāi)的HTML文件，該調(diào)用最重要的部分可以鎖定。VRT公布了其利用特定工具的檢測(cè)方法，其它供應(yīng)商可能會(huì)利用VRT的研究來(lái)確定如何使用它們自己的工具來(lái)開(kāi)展防護(hù)措施。

至于其它相關(guān)研究，Salman Javaid寫了一篇論文，詳細(xì)說(shuō)明了基于堆的惡意程序檢測(cè)以及如何使用虛擬機(jī)來(lái)檢測(cè)基于堆的惡意軟件。