首頁 > 關于我們 > 新聞動態 > 深度解讀

探究Web檢測算法:從【原創0day漏洞發現】到【產品天然防護】的自我閉環

發布時間 2024-08-07

編者按:


當下,智能語義分析與AI機器學習算法已成為檢測變形及未知攻擊的強大工具。本文從實際案例出發,探討了Web檢測算法從原創0day漏洞發現到產品天然防護的閉環過程,展示了智能語義分析與AI機器學習在應對復雜及未知網絡攻擊中的關鍵作用,為用戶網絡安全防護提供了新的思考路徑。


隨著安全產品對漏洞的防護愈加完善,攻擊者已經較難利用普通漏洞進行攻擊,而是越來越傾向于利用0day漏洞、繞過和變形處理后的payload進行攻擊,這些攻擊通常能夠規避傳統特征檢測。


基于簽名的傳統檢測技術雖然能快速響應已知威脅,但在面對新型、未知的攻擊手法時顯現出其短板,智能語義分析檢測算法與AI機器學習算法,為變形以及未知攻擊的檢測提供強有力的支持。


圖片1.png


近日,啟明星辰金睛安全研究團隊成員在某客戶現場進行日常運營中發現一例Web算法命令執行告警,可疑路徑為/webtools/control/forgotPassword/ProgramExport,該路徑與今年公布的CVE-2024-36104的漏洞存在高度的相似性。CVE-2024-36104基于webtools/control/ProgramExport接口,可用于實現任意命令執行。


啟明星辰金睛安全研究團隊探究其利用方式,在深入分析CVE-2024-36104的POC,是由于ControlFilter類中對路徑限制不當導致攻擊者能夠繞過后臺功能點的身份驗證,補丁對該部分進行了;,%2e等的過濾。但經過研究發現,在實際的官方代碼中,按照補丁的修復方式,并不能完全修復該漏洞,仍有其他的利用方式繞過權限校驗。


對此,我們針對本次新的漏洞利用方式,提交了CNVD(未公開)以及CVE(CVE-2024-38856),近期得到了收錄和公開。而在未公開前,內部驗證發現,啟明星辰自主研發的Web檢測算法可對此0day進行天然防御,實現從“發現漏洞”到“防御漏洞”的自我閉環。


圖片2.jpg

申請的CNVD近期收錄


圖片3.png


在介紹Web檢測算法如何應對未知日益復雜的Web攻擊之前,我們先了解漏洞的本質與利用。


? 漏洞的本質


系統、應用程序或服務的缺陷、錯誤或設計上的不足,使得輸入的數據被處理或執行后,產生了非功能預期的結果。


漏洞的觸發


在與Web服務交互的過程中,傳輸惡意payload,導致觸發sql注入,命令執行等基礎漏洞。


傳統的特征檢測本質是對已有特征的枚舉,通過結合觸發點和漏洞類型利用的特征,對數據進行匹配。


漏洞觸發的本質即“觸發路徑+基礎漏洞”,而Web檢測算法檢測模型拋開了對觸發路徑的依賴,專注基礎漏洞檢測本身,擴展檢測范圍,發現未知威脅。


啟明星辰Web檢測算法可通過預處理和語義+AI的分析,判斷當前數據流是否符合某種語法結構(sql語法,bash命令語法等)或特征庫,通過對結構內容有害性判斷,來識別是否是惡意攻擊。


圖片4.jpg


如上圖所示,Web檢測通用流程主要分為三部分:


數據處理


通過對數據的智能分析,主動識別出編碼及格式,進行多種類多層數的自動解碼,還原數據原始形態,有效防止各種編碼繞過。


語義分析


對強語言特性的攻擊,如sql、xss、代碼執行等,進行詞法-語法-語義識別,對代碼進行精準行為分析,防護繞過和未知手段的利用。


模型訓練


針對變形嚴重,特征不明顯的數據,如加密流量,命令注入等,通過對海量特征的收集和訓練,形成特征庫,應對復雜流量和未知威脅。


Web檢測算法通過以上技術手段,提高網絡安全設備對復雜特征以及未知特征的檢測能力,捕獲攻擊者的繞過攻擊和0day攻擊,彌補傳統特征檢測的泛化能力,在日益復雜和多變的網絡安全環境中,為用戶帶來新的安全防護保障。


目前,啟明星辰天闐超融合檢測探針(CSP)、天闐威脅分析一體機(TAR)、天清Web應用安全網關(WAF)、天清入侵防御系統(IPS)等多個產品均在原有特征規則檢測的基礎上,積極進行技術創新,融入Web檢測算法,傳統特征檢測快速響應已知攻擊+Web算法天然防護未知威脅雙管齊下,為用戶提供更全面更放心的安全防護。

上一篇 下一篇