Aggregator

格拉茨技术大学的研究人员发现了一种具有突破性的基于软件的旁道攻击方式 ——KernelSnitch，它利用的是 Linux 内核数据结构中的时间差异。

根据研究人员在 Github 上发布的报告，与依赖硬件的攻击不同，KernelSnitch 主要针对哈希表、基数树和红黑树。这使得非特权攻击者能够跨越隔离进程泄露敏感数据。

漏洞：内核数据结构是静默泄漏者

操作系统依靠哈希表和树等动态数据结构来管理用户空间锁、计时器和进程间通信 (IPC) 的元数据。

KernelSnitch 利用了一个关键的架构疏忽：访问这些结构所需的时间取决于它们的占用情况（元素的数量）。

通过测量系统调用执行时间，攻击者可以推断占用率并提取秘密。

KernelSnitch 的工作原理

1、时间测量：攻击者触发与内核结构交互的系统调用（例如，futex、msgget）。

2、占用率推断：系统调用持续时间越长，表示由于迭代搜索（例如，遍历哈希桶中的链接列表）导致的占用率越高。

3、放大：哪怕是极其微小的时间差异（低至 8 个 CPU 周期），也会通过缓存抖动（刷新 CPU 缓存以加剧内存延迟）或者结构操作（人为增加占用率）被放大。

KernelSnitch 利用哈希表中的可变访问时间。每个存储桶的链接列表长度会影响系统调用持续时间，通过时间戳比较泄露。

分析

1、隐蔽通道（580 kbit/s 传输）：恶意进程通过调节哈希桶占用率来进行通信。在 Intel i7 - 1260P 上，KernelSnitch 利用 futex 子系统实现了 580 kbit/s 的传输速度，错误率为 2.8%。

2、内核堆指针泄漏：攻击者通过强制哈希碰撞，可以推断出哈希函数中使用的秘密内核地址（例如 mm_struct）。这能够实现精确的堆操作以提升特权，并且在 65 秒内就能泄露指针。

3、网站指纹识别（准确率 89%）：在网页加载期间，监控 Firefox 的 futex 活动可以创建独特的时间指纹。卷积神经网络（CNN）能够从 Ahrefs Top 100 列表中识别出网站，F1 得分为 89.5%。

为什么 KernelSnitch 很重要

· 与硬件无关：和 Spectre 或 Meltdown 不同，KernelSnitch 利用的是软件设计缺陷，能够绕过硬件缓解措施。

· 广泛影响：所有使用动态内核结构的主流操作系统都存在这个漏洞。该漏洞已在 Linux 5.15 - 6.8 版本上进行了测试。

· 隐身性：它不需要特权或共享内存，能够逃避现有的沙箱。

缓解与挑战

修复 KernelSnitch 需要进行根本性的变革：

· 恒定时间结构：消除与占用情况相关的操作（例如预先计算最坏情况下的遍历步骤）。

· 命名空间隔离：限制跨安全域的结构共享。

· 随机散列：在散列函数中混淆内核地址输入。

正如合著者 Lukas Maar 所说：“对于通用内核来说，恒定时间编码并不现实。我们需要的是架构转变，而不是简单打补丁。”

KernelSnitch 暴露了操作系统安全中一个普遍存在的盲点：性能优化在无意中创建了旁道。由于概念验证（PoC）代码已经公开，开发人员必须优先考虑强化结构，而不是进行增量修复。随着内核级攻击变得越来越复杂，重新思考核心设计范式已经刻不容缓，否则攻击威胁将会超过缓解措施的作用。

卡巴斯基发布的关于 2024 年移动恶意软件演变的最新报告显示，针对移动设备的网络威胁显著增加。

这一年，该安全公司的产品成功阻止了多达 3330 万次涉及恶意软件、广告软件或有害移动软件的攻击。

移动恶意软件格局正随着新的传播方案发生变化

广告软件依旧在移动威胁领域占据主导地位，在总检测数量中占比 35%。卡巴斯基安全网络发现了 110 万个恶意以及潜在有害的安装包，其中近 69,000 个与手机银行木马相关。

这份报告着重指出了移动恶意软件几个新出现且令人担忧的趋势。比如，发现了 Mamont 银行木马针对俄罗斯安卓用户的一种新型传播方案。攻击者运用社会工程手段，以折扣产品吸引受害者，随后发送伪装成货运追踪应用程序的恶意软件。

研究人员还在捷克共和国发现了一种新的 NFC 银行诈骗手段。网络犯罪分子利用钓鱼网站，传播合法 NFCGate 应用程序的恶意修改版本。从诈骗者的聊天记录中，能看到相关的钓鱼链接。这种诈骗手段通过 NFC 连接，诱骗用户泄露银行卡详细信息，让欺诈者得以进行未经授权的交易。

新兴威胁和复杂的攻击媒介

有一个重大发现是 SparkCat SDK 植入程序，它从 2024 年 3 月开始传播。该恶意软件存在于多个 Google Play 应用里，目的是窃取设备图库中的图像，尤其针对加密货币钱包的恢复短语。值得注意的是，这个植入程序的变种还成功渗透进了苹果的 App Store，成为已知首个绕过苹果严格安全措施的 OCR 恶意软件。

在移动威胁态势下，预装恶意应用程序的情况有所增多，比如在安卓电视机顶盒上检测到了 LinkDoor 后门（也叫 Vo1d）。这个恶意软件嵌入在系统应用程序中，能够执行任意代码，还能安装其他恶意软件包。

尽管恶意软件和不需要的软件安装包总体数量连续多年呈下降趋势，但下降速度已经变缓。尤其让人担忧的是，虽然唯一安装包数量有所减少，手机银行木马活动却持续呈上升态势。

随着移动设备越来越成为网络犯罪分子的主要攻击目标，对强有力的安全措施以及提升用户安全意识的需求，从未像现在这样迫切。移动恶意软件的复杂程度日益提高，这凸显了保持警惕、采用全面移动安全解决方案来防范这些不断加剧的威胁的重要性。

在互联网高度普及的今天，网络为我们的日常生活和工作带来了极大便利，但同时也为网络攻击者提供了丰富的攻击途径，勒索软件因其低成本和高回报的特性，已成为网络攻击者的首选工具。这种恶意软件利用强大的加密技术锁定受害者的数据，除非支付赎金，否则难以解密，从而构成了严重的威胁。勒索软件不仅对个人和企业造成巨大的经济损失，更对国家安全和社会稳定构成了严重挑战。

作为网络犯罪的一种主流形式，勒索软件的破坏力不容忽视。其攻击手法日益多样化和隐蔽化，给防范和应对工作带来了前所未有的难度。在这样的大背景下，增强网络安全意识，强化防护措施，已经成为全社会共同抵御勒索软件攻击的当务之急。

从攻击手段聊勒索软件的防护难点

随着网络攻防技术的迭代，勒索软件的渗透途径日益增多，其攻击手段已经不再局限于传统的钓鱼邮件和恶意软件更新，扩展至软件更新劫持、僵尸网络等多样化形式。这些攻击不仅威胁到个人和企业资产，还涉及从本地存储到云端数据的全方位防护需求。特别是在疫情期间，远程办公和自带设备（BYOD）的广泛应用，使得企业的网络边界更加模糊，为勒索软件提供了更广阔的攻击空间。攻击技术的持续发展使得勒索软件的攻击手段更加多变，对企业安全防护构成了前所未有的挑战。

1、病毒变种多，难以查杀

勒索软件作者会不断更新病毒代码，生成新的变种，以逃避安全软件的检测。

2、攻击方式多样化，防不胜防

勒索软件的渗透途径日益增多，其攻击手段已经不再局限于传统的钓鱼邮件和恶意软件更新，扩展至软件更新劫持、僵尸网络等多样化形式。

3、传染性强，企业防护困难

勒索软件的攻击技术，包括复杂的加密算法和规避检测机制，使得传统安全工具难以有效识别和拦截，显著提升了企业安全防护的难度。

4、开发者难以追踪

攻击者通常要求使用比特币等匿名货币支付赎金，导致后续难以从金融方向追踪到攻击者。

从企业安全建设聊勒索软件的防护难点

1、老旧应用升级困难

随着企业业务的不断发展，企业内部IT建设的逐步推进，在这个发展的过程中，难免存在一些早期的IT设备，无法跟上企业内部的IT建设步伐，服务器本身就存在大量未打的补丁和升级，这些漏洞都可能成为攻击者的攻击入口。

2、用户意识和培训不足

企业内部员工的安全意识参差不齐，加之勒索软件攻击手段的多样性，仅依赖安全人员定期的安全培训是远远不够的。即便如此，企业员工仍可能轻易受到钓鱼邮件、恶意链接和附件的诱惑，从而不慎引入勒索软件。

3、多个权限管理系统相互独立

传统的网络架构中，权限管理相对独立，并且不够严格，用户和运维人员可能超过其工作范围的权限，并且无法进行统一管控，这些都为勒索软件的传播提供了便利。

4、缺乏端到端的安全策略

传统的网络架构中缺乏全面的端到端的安全策略，导致无法在数据传输和处理的过程中提供足够的保护，这些点都成为IT人员防护勒索软件的难点。

5、安全工具的集成和互操作行差

传统的网络中，不同的安全工具相互独立，无法有效进行集成，终端的只负责终端的安全检查，服务端只负责服务端的安全检查，不同的平台无法进行联动分析，导致一旦发现问题，管理人员只能通过后续的报警与日志信息进行排查，无法对事中的行为进行监测与干预，安全人员只能处于被动的地位。

无论是宏观环境、攻击手法，还是企业内部的安全状况，都对企业防御勒索软件构成了挑战。因此，企业必须采纳更为先进和全面的安全策略，例如推行零信任模型、加强端到端加密措施、定期开展安全培训和提升员工安全意识、建立快速的应急响应机制等，以有效应对勒索软件的复杂多变攻击手段。

安几零信任平台，为企业提供全方位，可落地的防勒索软件解决方案

安几零信任，作为业内领先的零信任架构研究团队，将勒索软件防御作为关键的研究领域。依托团队在网络安全攻防领域的深厚积累，我们不断探索企业安全建设与零信任架构的深度结合，致力于打造以自适应防御为核心理念的零信任安全防御平台。我们助力企业构建以零信任架构为核心的下一代安全体系，以应对日益复杂的网络安全挑战。

1、接入端持续安全检测，强化不同资产下安全防护能力

在对接入端的安全安全层面，安几零信任对接入端的检测贯穿整个访问过程，包括但不限于检查终端防火墙和杀毒软件是否启用、是否满足登录安全标准等。若接入终端因个人失误而遭受攻击，如被植入木马或其他恶意软件，并试图通过低频操作隐藏自身，以规避终端安全软件的监测，则在接入内网后可能发起进一步攻击。在这种情况下，仅靠接入前的终端检测已不足以保障安全。零信任架构的持续认证机制为此类场景提供了有效的解决方案。即使在绕过接入环节后，每次访问都会受到持续监测，一旦检测到异常行为，便能立即采取权限回收或中断访问的措施。

2、服务安全端代理模块，提升主机防护能力

勒索软件的攻击策略不仅限于利用终端环境，其目标也越来越多地转向具有高配置和高算力的服务端。针对这一趋势，服务端主机的安全检测和防护显得尤为重要。

在服务端防护层面，安几零信任提供独有的主机防护代理模块，搭配安全网关来加强对所有访问流量进行严格校验与权限控制，实现比防火墙更为细粒度的管控，一旦发现一台服务器已被感染，立即执行隔离操作，防止其他 服务器被污染，从而有效遏制勒索软件的攻击企图。这种多层次、动态的防护策略，为服务端主机提供了更为坚固的安全防线。

3、服务出口访问控制，及时切断病毒远程通信

勒索软件的攻击依赖于内网主机传播，并需完成远程密钥的交换与验证。安几零信任的服务端代理模块，支持对服务器的出口访问权限进行访问控制，仅开放真正需要访问的IP和端口，从策略上阻止勒索病毒访问远程服务器进行密钥下载。此外，网关还能与第三方日志系统协同分析，一旦识别出勒索行为，立即触发告警，并启动相关检测软件进行勒索软件的清除。

4、所有的访问流量实时监测，消除流量中的风险盲点

通信流量检查是网络安全中的必不可少的一环，所有的访问行为都会以流量的方式记录下来（包含勒索软件行为），传统网络安全设备无法在不影响业务的情况下实现对所有SSL流量的安全检查，零信任安全网关能力提供对所有的访问流量（包含加密流量）进行监测的能力，同时配合检测策略进行实时防护，一旦发现异常访问链接行为，即刻执行拦截和处置操作。

5、细粒度的权限管控，强化企业整体安全防护能力

企业内部安全建设的不均衡性为勒索软件攻击提供了可乘之机。安几零信任通过实施统一的身份管理，基于属性基访问控制（ABAC）的权限模型，配合策略控制模型，针对企业内部资源的不均衡状况，实现一致的权限管控，防止权限滥用和风险扩散。将因权限管理不当引发的风险降至最低，强化了企业的整体安全防护能力。

6、暴露面收敛，有效降低日志输出，提升运维效率

在企业安全建设中，为了增强防护能力，常会部署众多安全设备，每台设备配备不同的防护策略。然而，这些设备因为业务暴露面问题会产生的海量告警日志，给安全运维团队带来沉重负担，使得运维人员难以迅速识别并响应真实的威胁，安几零信任通过暴露面收敛模块，确保只有通过校验的合法用户才会留下日志，大幅减少了无效日志的产生，这样一来，安全运维人员可以摆脱繁琐的日志筛选工作，将注意力集中在处理更为复杂和高级的攻击告警上，从而显著提高运维工作的效率。