卡巴斯基实验室漏洞研究组负责人Alexander Liskin和资深分析师Boris Larin受邀参加2019ISC

作为一家国际著名的网络安全公司，不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护，二十多年来卡巴斯基团队一直专注于发现、分析和清除所有IT威胁，尤其在利用漏洞欲发动网络战的当下，卡巴斯基团队更是与国际级APT组织争分夺秒。

卡巴斯基首家揭露美网络武器库最强“凶器”方程式组织，此次来自卡巴斯基启发检测和漏洞研究小组的负责人Alexander Liskin以及高级分析师Boris Larin受邀在ISC 2019主论坛分享了他们发现0day 漏洞的经验、卡巴斯基基于沙箱的漏洞检测技术以及所发现的高危漏洞的技术细节。

卡巴斯基在捕获在野0day漏洞利用方面有着长久的历史，而近期也有着不错的成果。比如2018年12月以来，我们每个月都曾发现新的Windows高危0day并报告给微软，也因此被微软列为漏洞报告方面的顶级贡献者。

Alexander Liskin 介绍卡巴斯基发现研究在野0day的过程

根据Alexander Liskin介绍，卡巴斯基的漏洞检测主要基于两种技术：终端上基于主动防御的AEP技术和卡巴斯基的高级沙箱技术。AEP技术可以记录并分析进程如Word、PDF阅读器、Flash播放器等的异常行为并能判定这种行为是否是因漏洞利用而引起。而卡巴斯基的沙箱则可以更为全面地分析可疑对象的行为。此外卡巴斯基基于其沙箱针对漏洞利用专门研发了ExploitCheck技术，基于此种技术，卡巴斯基沙箱可以检测到漏洞利用过程中的典型行为，如栈上执行、堆喷射、内核层执行用户代码以及进程令牌改变等等。为了分析每天收到的海量数据，卡巴斯基的沙箱分析系统拥有75 个高性能服务器、2500个虚CPU、2000个虚拟机，每日峰值时段分析400万个对象，非峰值时段分析200万个。

Boris Larin介绍漏洞技术细节

随后，卡巴斯基高级分析师Boris Larin详细介绍了卡巴斯基近期发现的漏洞背后的技术细节，如CVE-2018-8174微软Office/IE双杀漏洞、CVE-2018-8453 Win32k内核提权漏洞、CVE-2018-8611，内核事务管理器竞争条件漏洞等。

来源：中华网