Forcepoint新世代防火牆的檢測功能可透過Shellcode 編碼器進行零日安全保護

攻擊者正在利用常見軟體進行零日漏洞的攻擊，這意味著您無能為力來防止漏洞利用，對嗎？

出現漏洞

一切都開始於受害者設備上軟體組件中的漏洞，攻擊者知道這一點。攻擊者準備一種特殊類型的文件、網路流量中的某種模式或其他東西，並以某種方式誘騙受害者執行此攻擊。當受害者執行時，就會觸發漏洞。例如在拒絕服務 (DoS) 攻擊中：系統可能會變得無反應或減速。該漏洞可能使攻擊者能夠在受害者的系統上註入一些額外的程式來執行。

Shellcode出現

Shellcode 是用於在成功注入受害者系統內存的小段代碼的通用術語。該名稱源於歷史事實，即最初的 shellcode 用於為攻擊者彈出 shell 界面。現在，shellcode 還可以做很多其他的事情，比如在系統上安裝 C&C或反向後門。但是 shellcode 這個術語已經在通用術語中確立了它的地位。

在 Metasploit 等攻擊框架中，選擇exploit後，選擇成功exploit後要執行的payload。這個payload就是shellcode。

Shellcode編碼器

大多數漏洞不允許將真正的任意字節注入系統內存。為了獲取可利用代碼，漏洞利用負載可能需要以特定方式進行格式化 - 例如，它可以不包含 NULL 或只允許使用 ASCII 。為了解決這個問題，必須使用shellcode 編碼器。

shellcode 編碼器將 shellcode 編碼為可接受的形式，例如完整的 ASCII。編碼器本身通常不會試圖逃避安全供應商的檢測，例如 AV 或 IPS。它們的主要功能是將代碼修改為可以成功注入內存的格式。即使使用簡單的字符串匹配，這些類型的編碼器也很容易識別。

但是，有些編碼器是專門為安全供應商難以檢測而建立的。每次運行時，多元編碼器生成的 shellcode 都會不同，這使得需要初始字符串匹配才能工作的安全系統無法識別。強大的多元 shellcode 編碼器的例子是傳說中的 Shikata-Ga-Nai，它是一個多元 XOR 加法反饋編碼器。 Shikata-Ga-Nai 以現代安全產品難以檢測的編碼器而聞名。

Shellcode stager

有時，要被利用的漏洞只允許將非常少量的代碼注入內存。在這種情況下，攻擊者無法將完整的 shellcode 放入攻擊負載中。相反，攻擊者可以注入一種叫做 stager 的東西。stager 是一段非常短的代碼，它將在受害系統上運行的更大的代碼段。這使得在被利用的系統中獲得更大的 shellcode。漏洞利用框架通常也實現不同類型的 stager。

零日檢測

如前所述，檢測零日攻擊是一項艱鉅的任務。但是，除了利用零日漏洞之外，漏洞利用通常還包括編碼的 shellcode 負載。儘管最初的漏洞利用可能會有所不同，即使最終執行的 shellcode 有效負載也可能會有所不同，但仍然存在一個部分：shellcode 編碼器。

這意味著您不一定需要識別初始的攻擊來源。你甚至不需要知道有效負載是什麼。您需要做的就是識別不同的 shellcode 編碼器。通過識別 shellcode 編碼器，您可以牢固地防禦零日攻擊。

Forcepoint 新世代防火牆中的檢測功能

Forcepoint 新世代防火牆中內建的DFA 指紋識別可在任何網路流量中實現快速的指紋識別。因此，甚至可以從任何網路流量中識別更複雜的 shellcode 編碼器。這一點值得注意，因為許多安全產品只能對文件執行這種級別的檢測，而不是在整個網路。

相關原廠文章：https://www.forcepoint.com/blog/x-labs/zero-day-protection-via-shellcode-encoders