IPS产品安全厂商与黑客的斗争还在继续,曾经成功绕过IDS的他们面对这款企业防护系统也发起了攻击,黑客们已经可以同TCP/IP的漏洞进行IPS攻击规避,本次的文章我们将简述通过RPC协议规避来实现IPS攻击规避的目的。
MS-RPC和Sun/ONC RPC都允许应用程序以分片的方式发送请求,这些分片在RPC服务器内会被重新组装成完整请求形式。攻击者通过将不同程度的RPC碎片和不同的TCP传输机制进行组合后,可以构造出多种的规避方式。例如:在单TCP数据包中发送所有分片,在不同TCP数据包内发送不同范围的分片(如每个TCP数据包只携带一个RPC分片)等。
以MS08-059为例,Host Integration Server的RPC接口所暴露的一些方式,允许未经认证的攻击者在服务器上执行任意程序。RPC opcodes 1和6都允许攻击者调用CreateProcess()函数并向其传送命令行,这可能导致完全入侵服务器。利用这个漏洞,攻击者可以发送如下所示的请求,来提升权限:
CMD/c net user admin admin /ADD
为逃避检测IPS对这种异常权限提升行为的检测,攻击者可以对RPC请求进行分片处理,下图是在单TCP数据段内进行分片后的效果:
由于特征信息被“打散”,传统的基于包特征匹配的方式很难处理这种规避,要检测该攻击需要依据DCERPC协议对RPC分片进行重组。可见,面对IPS攻击规避,IPS不仅需要能够对底层协议进行精确解析,还需要有非常细粒度的应用层协议处理能力。
【编辑推荐】
