2012-01-29 18:44至頂網陳廣成
Wikipedia有一個關于"入侵監測系統規避技術"的詞條:
“規避這個術語是用來描述一種能夠繞過信息安全設備進行入侵,攻擊或植入惡意軟件到目標網絡或系統而不被發現的技術。”
早在1998年就有人提出規避技術,而如今已經過去這么多年了。更重要的是,現在有了AET(Advanced Evasion Technique)。
高級規避技術
NSS Labs的CEO Rick Moy講述了講述的有關AET的內容:
“規避技術可以讓攻擊者在面對安全軟硬件產品時偽裝或隱藏其攻擊行為。AET則是一種復合型的規避技術,更難以被察覺。
AET 目前更多的還只是一種銷售上的術語,所以在技術領域流傳的并不廣泛。盡管如此,由AET發動的攻擊確實存在。企業應該對此給予足夠的重視。
NSS 已經對規避技術進行了多年的測試,而今年測試的重點就是AET。”
Rick表示 NSS Labs已經做了大量有關AET的測試,而且通過側面了解,Rick所測試的產品是來自 Stonesoft.com公司的 ,Stoneoft公司專門進行有關AET的研究工作。
記者: “規避技術”這個術語并不被經常提起,對于Stonesoft來說,這個術語意味著什么呢?
Stonesoft: 從技術上講,規避技術正如Rick 所說的,是一種方法或手段,它是通過一種特殊的方式將攻擊偽裝起來,避免被IPS或IDS監測到,同時還能夠對特定目標發動特定攻擊。
更重要的是,規避技術體現出IPS/IDS研究領域的一個巨大疏漏,因為IPS/IDS 更多的是將注意力放在了所謂的“零日攻擊”,蠕蟲以及其它可以比較簡單就被識別的攻擊。Stonesoft之所以如此重視規避技術,是因為考慮到黑客的攻擊動機(金錢),要規避IPS的監測并沒有那么難。
對于黑客來說,與攻擊成功后獲得的巨大經濟利益相比,前期投入一些資金和精力,開發一套自動化的融合多種規避技術,可以有效規避IPS/IDS 監測的工具,是非常值得的。因此Stonesoft愿意花時間和精力來研究規避技術,并將研究成果在技術社區內與大家分享。
記者: 您是說IDS和IPS是目前對付主流規避技術的主要手段嗎?這些系統有效嗎?
Stonesoft: 是的。 IPS/IDS設備就是用來防止和預防攻擊的。這類設備的職責就是檢查流經的數據,并判斷其中是否攜帶了攻擊傾向的數據。有些攻擊數據在嘗試隱藏自身時,會使得數據流看上去不正常,或者有些混亂。
在大多數情況下, IPS/IDS設備都能正確的檢測出這些異常,只要攻擊者所采取的規避技術不會超越傳統規避技術太多。但是,如果攻擊者采用了多層級的規避技術,那么IPS/IDS設備的檢測效果就會大打折扣。
記者: 我讀到過一份報道,介紹2010年Softstone曾經進行過一項獨特的挑戰。你們的開發團隊決定成為規避技術的專家,從而進行更深入的研究,找出反規避技術的能力。目前這個項目怎么樣了?
Stonesoft: 我們對我們的發現都感到驚訝。建立一個高級規避系統所需要的工具在每個黑客手里都有,而且,只需要將常見的規避工具簡單的組合,就能有效的繞過如今市場上大部分IPS/IDS 系統的檢測。
這個事實讓我們開始研究該如何改進IPS/IDS 設備,以及如何進行規范化的長期發展。我們的研究揭示了當前主流IPS/IDS 設備存在的不足,而這些不足肯定會影響客戶的安全預期,應該被立刻加以彌補。因為金錢是一個很強大的動力,因此黑客肯定不會停止對高級規避技術的利用。
記者: 聽說在研究過程中, Stonesoft的研究人員總共發現了23中所謂的高級規避技術(AET)。那么這些技術之間有什么差別么?
Stonesoft: 簡單的講,傳統意義上用來繞過IDS/IPS 設備的規避技術所涉及的具體操作都是針對OSI模型中的某一層的。
比如在IP層,有一種技術會制造出數據包碎片,通過大量的碎片來影響IPS設備,導致IPS設備無法正常識別混雜在數據包碎片中的攻擊數據。好在這種技術,包括其他類似的技術已經被安全防護系統廠商知曉并開發出了應對產品。
與之不同,AET同時涉及到多個OSI模型層中的不同規避技術。比如在TCP層分組一個數據包,然后再另一個模型層將接收端能看到的數據順序進行逆反。
當使用一個規避技術時, IPS/IDS 設備能夠將其發現并截獲。但是當多個規避技術應用在相同的數據包時, IPS/IDS 沒有足夠的時間對其進行分析辨別,也就是無法對其進行標準化。當一個數據包無法被恰當的標準化,即IPS/IDS無法為其添加頭尾標記時,根據IPS/IDS的設計規則,IPS/IDS必須對這個數據包放行,也就是允許惡意數據流通過。如果說防火墻默認設計是拒絕,那么IPS/IDS的默認設計就是通過。
方便大家參考,我將OSI模型列出來:
· Layer 7: 應用層 (協議舉例: HTTP, SMTP)
· Layer 6: 表示層 (協議舉例: ASCII)
· Layer 5: 會話層 (協議舉例: MSRPC)
· Layer 4: 傳輸層 (協議舉例: TCP)
· Layer 3: 網絡層 (協議舉例: IP)
· Layer 2: 數據鏈路層 (協議舉例:ARP)
· Layer 1: 物理連接層
單獨對于任何一個模型層的操作都會被IPS/IDS識別和捕獲。而創造性的對多個層進行操作,IPS/IDS就無計可施了。如果攻擊者能夠創建這樣的數據包,使得IPS/IDS沒有能力對其進行檢測(標準化),那么他就可以將惡意數據繞過IPS/IDS進行傳輸。
記者: Stonesoft會根據這個研究成果做什么措施呢?安全社團對于你們的研究成果有什么反饋?
Stonesoft: 從去年開始,我們就聯合CERT,公布我們測試完成的規避技術范例。我們之所以這樣做是為了推動安全社團重視到當前IPS/IDS 設備存在的弱點,即多次使用規避技術的數據包無法被IPS/IDS 設備識別這個弱點。
而對于我們的研究成果,安全社團主要分兩種態度,一種是懷疑,另一種是關心。有些廠商認為AET是難以實現或根本不可能實現的,而另一些廠商認為邏輯上講,黑客在利益的驅動下,接下來就會大規模的應用這種技術。
很多人都曾經問我,現實中AET的利用率是不是很高。我只能說,根據黑客的本性,以及這種機制難以發現的特性,很可能AET已經被部分黑客利用。因此,我們覺得對于這個領域的研究是值得的,并且希望能為行業帶來最有效的防護研究成果。
總結
雖然是頭一次聽到這個所寫,但是不管我們喜不喜歡他,AET確實是存在的。而且,直到IDS/IPS廠商能夠解決這個難題之前,我們都要格外留意自己的網絡安全。
京公網安備 11010502049343號