隱形攻擊新突破:高級規(guī)避技術

責任編輯:FLORA

2012-01-30 08:40:40

摘自:至頂網

Stonesoft: 簡單的講,傳統(tǒng)意義上用來繞過IDS/IPS 設備的規(guī)避技術所涉及的具體操作都是針對OSI模型中的某一層的。比如在IP層,有一種技術會制造出數(shù)據(jù)包碎片,通過大量的碎片來影響IPS設備

2012-01-29 18:44至頂網陳廣成

Wikipedia有一個關于"入侵監(jiān)測系統(tǒng)規(guī)避技術"的詞條:

“規(guī)避這個術語是用來描述一種能夠繞過信息安全設備進行入侵,攻擊或植入惡意軟件到目標網絡或系統(tǒng)而不被發(fā)現(xiàn)的技術。”

早在1998年就有人提出規(guī)避技術,而如今已經過去這么多年了。更重要的是,現(xiàn)在有了AET(Advanced Evasion Technique)。

高級規(guī)避技術

NSS Labs的CEO Rick Moy講述了講述的有關AET的內容:

“規(guī)避技術可以讓攻擊者在面對安全軟硬件產品時偽裝或隱藏其攻擊行為。AET則是一種復合型的規(guī)避技術,更難以被察覺。

AET 目前更多的還只是一種銷售上的術語,所以在技術領域流傳的并不廣泛。盡管如此,由AET發(fā)動的攻擊確實存在。企業(yè)應該對此給予足夠的重視。

NSS 已經對規(guī)避技術進行了多年的測試,而今年測試的重點就是AET。”

Rick表示 NSS Labs已經做了大量有關AET的測試,而且通過側面了解,Rick所測試的產品是來自 Stonesoft.com公司的 ,Stoneoft公司專門進行有關AET的研究工作。

記者: “規(guī)避技術”這個術語并不被經常提起,對于Stonesoft來說,這個術語意味著什么呢?

Stonesoft: 從技術上講,規(guī)避技術正如Rick 所說的,是一種方法或手段,它是通過一種特殊的方式將攻擊偽裝起來,避免被IPS或IDS監(jiān)測到,同時還能夠對特定目標發(fā)動特定攻擊。

更重要的是,規(guī)避技術體現(xiàn)出IPS/IDS研究領域的一個巨大疏漏,因為IPS/IDS 更多的是將注意力放在了所謂的“零日攻擊”,蠕蟲以及其它可以比較簡單就被識別的攻擊。Stonesoft之所以如此重視規(guī)避技術,是因為考慮到黑客的攻擊動機(金錢),要規(guī)避IPS的監(jiān)測并沒有那么難。

對于黑客來說,與攻擊成功后獲得的巨大經濟利益相比,前期投入一些資金和精力,開發(fā)一套自動化的融合多種規(guī)避技術,可以有效規(guī)避IPS/IDS 監(jiān)測的工具,是非常值得的。因此Stonesoft愿意花時間和精力來研究規(guī)避技術,并將研究成果在技術社區(qū)內與大家分享。

記者: 您是說IDS和IPS是目前對付主流規(guī)避技術的主要手段嗎?這些系統(tǒng)有效嗎?

Stonesoft: 是的。 IPS/IDS設備就是用來防止和預防攻擊的。這類設備的職責就是檢查流經的數(shù)據(jù),并判斷其中是否攜帶了攻擊傾向的數(shù)據(jù)。有些攻擊數(shù)據(jù)在嘗試隱藏自身時,會使得數(shù)據(jù)流看上去不正常,或者有些混亂。

在大多數(shù)情況下, IPS/IDS設備都能正確的檢測出這些異常,只要攻擊者所采取的規(guī)避技術不會超越傳統(tǒng)規(guī)避技術太多。但是,如果攻擊者采用了多層級的規(guī)避技術,那么IPS/IDS設備的檢測效果就會大打折扣。

記者: 我讀到過一份報道,介紹2010年Softstone曾經進行過一項獨特的挑戰(zhàn)。你們的開發(fā)團隊決定成為規(guī)避技術的專家,從而進行更深入的研究,找出反規(guī)避技術的能力。目前這個項目怎么樣了?

Stonesoft: 我們對我們的發(fā)現(xiàn)都感到驚訝。建立一個高級規(guī)避系統(tǒng)所需要的工具在每個黑客手里都有,而且,只需要將常見的規(guī)避工具簡單的組合,就能有效的繞過如今市場上大部分IPS/IDS 系統(tǒng)的檢測。

這個事實讓我們開始研究該如何改進IPS/IDS 設備,以及如何進行規(guī)范化的長期發(fā)展。我們的研究揭示了當前主流IPS/IDS 設備存在的不足,而這些不足肯定會影響客戶的安全預期,應該被立刻加以彌補。因為金錢是一個很強大的動力,因此黑客肯定不會停止對高級規(guī)避技術的利用。

記者: 聽說在研究過程中, Stonesoft的研究人員總共發(fā)現(xiàn)了23中所謂的高級規(guī)避技術(AET)。那么這些技術之間有什么差別么?

Stonesoft: 簡單的講,傳統(tǒng)意義上用來繞過IDS/IPS 設備的規(guī)避技術所涉及的具體操作都是針對OSI模型中的某一層的。

比如在IP層,有一種技術會制造出數(shù)據(jù)包碎片,通過大量的碎片來影響IPS設備,導致IPS設備無法正常識別混雜在數(shù)據(jù)包碎片中的攻擊數(shù)據(jù)。好在這種技術,包括其他類似的技術已經被安全防護系統(tǒng)廠商知曉并開發(fā)出了應對產品。

與之不同,AET同時涉及到多個OSI模型層中的不同規(guī)避技術。比如在TCP層分組一個數(shù)據(jù)包,然后再另一個模型層將接收端能看到的數(shù)據(jù)順序進行逆反。

當使用一個規(guī)避技術時, IPS/IDS 設備能夠將其發(fā)現(xiàn)并截獲。但是當多個規(guī)避技術應用在相同的數(shù)據(jù)包時, IPS/IDS 沒有足夠的時間對其進行分析辨別,也就是無法對其進行標準化。當一個數(shù)據(jù)包無法被恰當?shù)臉藴驶?,即IPS/IDS無法為其添加頭尾標記時,根據(jù)IPS/IDS的設計規(guī)則,IPS/IDS必須對這個數(shù)據(jù)包放行,也就是允許惡意數(shù)據(jù)流通過。如果說防火墻默認設計是拒絕,那么IPS/IDS的默認設計就是通過。

方便大家參考,我將OSI模型列出來:

· Layer 7: 應用層 (協(xié)議舉例: HTTP, SMTP)

· Layer 6: 表示層 (協(xié)議舉例: ASCII)

· Layer 5: 會話層 (協(xié)議舉例: MSRPC)

· Layer 4: 傳輸層 (協(xié)議舉例: TCP)

· Layer 3: 網絡層 (協(xié)議舉例: IP)

· Layer 2: 數(shù)據(jù)鏈路層 (協(xié)議舉例:ARP)

· Layer 1: 物理連接層

單獨對于任何一個模型層的操作都會被IPS/IDS識別和捕獲。而創(chuàng)造性的對多個層進行操作,IPS/IDS就無計可施了。如果攻擊者能夠創(chuàng)建這樣的數(shù)據(jù)包,使得IPS/IDS沒有能力對其進行檢測(標準化),那么他就可以將惡意數(shù)據(jù)繞過IPS/IDS進行傳輸。

記者: Stonesoft會根據(jù)這個研究成果做什么措施呢?安全社團對于你們的研究成果有什么反饋?

Stonesoft: 從去年開始,我們就聯(lián)合CERT,公布我們測試完成的規(guī)避技術范例。我們之所以這樣做是為了推動安全社團重視到當前IPS/IDS 設備存在的弱點,即多次使用規(guī)避技術的數(shù)據(jù)包無法被IPS/IDS 設備識別這個弱點。

而對于我們的研究成果,安全社團主要分兩種態(tài)度,一種是懷疑,另一種是關心。有些廠商認為AET是難以實現(xiàn)或根本不可能實現(xiàn)的,而另一些廠商認為邏輯上講,黑客在利益的驅動下,接下來就會大規(guī)模的應用這種技術。

很多人都曾經問我,現(xiàn)實中AET的利用率是不是很高。我只能說,根據(jù)黑客的本性,以及這種機制難以發(fā)現(xiàn)的特性,很可能AET已經被部分黑客利用。因此,我們覺得對于這個領域的研究是值得的,并且希望能為行業(yè)帶來最有效的防護研究成果。

總結

雖然是頭一次聽到這個所寫,但是不管我們喜不喜歡他,AET確實是存在的。而且,直到IDS/IPS廠商能夠解決這個難題之前,我們都要格外留意自己的網絡安全。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號