360张聪探讨APT检测：0day漏洞与恶意软件防御

"张聪在2013中国互联网安全大会上分享了关于APT检测中的0day和恶意软件检测的主题，强调了0day漏洞的检测和未知恶意代码防御的重要性。" 在网络安全领域，Advanced Persistent Threats（APT）是一种长期、定向的攻击，通常由高度组织化的威胁参与者发起，旨在窃取敏感信息或破坏关键系统。张聪，作为360公司的资深安全研究员，深入探讨了如何应对这种高级威胁，特别是针对0day漏洞和未知恶意软件的检测和防御策略。 0day漏洞是指尚未公开或未被操作系统或应用软件供应商修复的安全漏洞。这些漏洞是攻击者最喜欢利用的工具，因为它们能有效绕过现有的安全防护。张聪指出，0day漏洞利用主要依赖于操纵内存、部署代码、跳转执行流以及ShellCode的执行。为了检测0day漏洞利用，他提出了以下手段： 1. 操纵内存和执行流阶段：通过监测内存布局、追踪内存块源头、监控关键指令代码以及预先占据内存空间来阻止攻击。 2. ShellCode执行阶段：设置系统调用入口的检查点，检测系统调用环境，分析调用来源的内存属性，并追溯调用链条。 对于未知恶意代码的防御，张聪强调了它的不可预测性和变形性，如静态检测的逃避、虚拟机壳的使用以及依赖外部指令。他提出攻击者的软肋在于它们最终要在终端上运行并产生网络行为。因此，防御策略应包括： 1. 主动防御和隔离沙箱：实时监控程序的敏感行为，包括网络活动，通过模拟执行环境来隔离潜在威胁。 2. 终端代码执行控制：实施严格的程序白名单策略，仅允许经过验证的可信程序运行，迫使攻击者尝试利用0day漏洞。 张聪的分享展示了网络安全领域的深度和复杂性，强调了持续学习和创新在对抗APT和0day威胁中的必要性。通过理解攻击者的手段和弱点，以及采用有效的检测和防御策略，可以增强网络环境的安全性。