Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負責(zé)風(fēng)險管理項目，并支持該項目的技術(shù)PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

企業(yè)威脅專家Nick Lewis解釋了新的Flash堆噴射(heap spray)攻擊技術(shù)的工作原理，并討論了研究人員正在使用的檢測和降低風(fēng)險的方法。

[[123603]]

近來利用“use-after-free”IE零日漏洞的攻擊似乎凸顯了Flash堆噴射(heap spray)檢測的重要性。為什么攻擊者利用這種技術(shù)?研究人員又應(yīng)該如何檢測堆噴射(heap spray)?

Nick Lewis：攻擊者在近期的“use-after-free”IE零日攻擊中使用了Flash堆噴射(heap spray)。攻擊者使用該技術(shù)在系統(tǒng)上執(zhí)行惡意代碼，通過將惡意代碼嵌入已安裝在系統(tǒng)上的軟件易受攻擊的一部分。使用Flash堆噴射(heap spray)，攻擊者可以將惡意數(shù)據(jù)注入記憶堆，一旦易受攻擊的應(yīng)用程序被啟用，就會訪問到堆中任意一個位置的惡意代碼從而執(zhí)行。

Flash堆噴射(heap spray)是堆噴射(heap spray)的一種，其使用Flash ActionScript將代碼放到操作系統(tǒng)的記憶堆中，以便之后應(yīng)用程序啟用時觸發(fā)。被惡意Falsh文件所利用的IE瀏覽器漏洞被稱為IE的漏洞功能，該漏洞會執(zhí)行放置在記憶堆中的惡意代碼。

研究人員正在想辦法檢測堆噴射(heap spraying)，但考慮到多階段攻擊手法和攻擊中所涉及到多個不同的文件，想要檢測到堆噴射(heap spraying)是非常困難的。

Vulnerability Research Team (VRT)寫了一篇博客文章，概述了其檢測Flash堆噴射(heap spray)攻擊的步驟。步驟中表示調(diào)用零日IE漏洞的惡意功能具體情況還不是很明確，但是如果你只是分析攻擊中所打開的HTML文件，該調(diào)用最重要的部分可以鎖定。VRT公布了其利用特定工具的檢測方法，其它供應(yīng)商可能會利用VRT的研究來確定如何使用它們自己的工具來開展防護措施。

至于其它相關(guān)研究，Salman Javaid寫了一篇論文，詳細說明了基于堆的惡意程序檢測以及如何使用虛擬機來檢測基于堆的惡意軟件。