2016年，苹果被曝史上最大iOS漏洞“三叉戟”，只要点击一个链接，攻击者就可通过该漏洞获得苹果系统内核的最高权限。后来，该漏洞被发现用于针对特定目标的真实APT（高级可持续威胁攻击）行动中，严重危害用户安全。

　　为了提升用户系统安全，保护数据隐私，阿里安全猎户座实验室总结了一类业界流行的针对于苹果系统（如iOS和macOS）内核的攻击方式，并首次提出了一套基于macOS内核的防御机制“PUSH”。这项由阿里安全研发的新一代安全架构核心技术可自动保护“潜在受害”的苹果系统，有效对抗业界公开的18个漏洞利用程序，并且发现了1例零日漏洞攻击。最近，该研究被国际四大安全顶会之一的NDSS2021收录。

图说：阿里安全新一代安全架构核心技术成果被国际顶会NDSS2021收录

　　自动发现APT潜在攻击

　　据国家互联网应急中心发布的相关报告，2019年，我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击，国家网络空间安全受到严重威胁，攻击对象涉及我国重大基础设施和关键政企单位。

　　APT攻击一般通过浏览器或者软件漏洞获取普通用户权限，然后通过内核漏洞来突破沙箱（软件隔离环境）和提升权限，攻击者在获取了目标机器上重要数据后，还会留下后门，长期监控攻击目标。

　　该论文第一作者、高级安全专家蒸米介绍，阿里安全猎户座实验室提出的这套创新防御机制可以在攻击者利用内核漏洞时发现并拦截攻击，帮助政企单位对抗APT攻击，保护数据隐私信息。

　　根据公开的漏洞利用程序，攻击者往往通过破坏某些内核对象来控制内核，阿里安全猎户座实验室将这种类型的攻击技术概括为POP攻击。PUSH会自动定位macOS系统内核中易被攻击的区域，找到攻击者采用的破坏途径，匹配合适的修复方法。“在整个定位与修复过程中，PUSH会将‘容易出现问题的内核部分’引流到检测模块，相当于构建旁路，不会影响苹果系统的正常运转。”蒸米说。

图说：遇到攻击时PUSH的防护路径

　　2018年蒸米将这项研究同步了苹果的安全部门。苹果公司对这一发现表达了感谢，并表示将在苹果系统中加入相关防护机制，保护系统和用户的安全。

　　普通macOS用户亦面临安全风险

　　2019年8月，谷歌安全团队在发现了针对普通iPhone用户的恶意网站，这些网站能够控制受害iPhone用户的手机，而这些恶意网站正是在利用了“POP”攻击手段对系统内核进行破坏后才达到了攻击目的。

　　同样的攻击手段可能发生在macOS等其他苹果系统当中，普通macOS用户也面临同样的安全风险。

　　“通过部署PUSH防御机制，我们能够有效地发现这种攻击手段，甚至发现通过未知漏洞开展的黑客攻击，及时保护用户的系统安全。”该论文共同作者、安全专家白小龙提醒道。PUSH已经梳理了多种常见的漏洞利用路径和修复方法，黑客很难绕开这些路径。所以，即使黑客利用未知漏洞展开这种针对内核的攻击，PUSH防御机制也能发现并快速修复漏洞。

　　据阿里安全猎户座实验室负责人杭特介绍，目前阿里已将该防御机制部署在各种设备中，针对Windows的相关内核防御机制也已就绪。

　　阿里安全资深安全专家、办公安全负责人自化表示，该成果应用在阿里自身办公网的云管端防御体系，是为了让阿里的办公环境默认免疫此类攻击行为，处于更安全的环境，也从源头保护用户信息安全。“另外，我们也在通过PUSH发现的在野漏洞积极推进厂商修复，改善用户网络安全环境。”自化说。