IPS攻击规避技术之RPC协议规避

安全
本文简述了黑客攻击者为了实现IPS攻击规避,对RPC请求进行分片处理,通过RPC协议规避技术逃避IPS系统对异常行为的检测,并且实施入侵。

IPS产品安全厂商与黑客的斗争还在继续,曾经成功绕过IDS的他们面对这款企业防护系统也发起了攻击,黑客们已经可以同TCP/IP的漏洞进行IPS攻击规避,本次的文章我们将简述通过RPC协议规避来实现IPS攻击规避的目的。

MS-RPC和Sun/ONC RPC都允许应用程序以分片的方式发送请求,这些分片在RPC服务器内会被重新组装成完整请求形式。攻击者通过将不同程度的RPC碎片和不同的TCP传输机制进行组合后,可以构造出多种的规避方式。例如:在单TCP数据包中发送所有分片,在不同TCP数据包内发送不同范围的分片(如每个TCP数据包只携带一个RPC分片)等。

以MS08-059为例,Host Integration Server的RPC接口所暴露的一些方式,允许未经认证的攻击者在服务器上执行任意程序。RPC opcodes 1和6都允许攻击者调用CreateProcess()函数并向其传送命令行,这可能导致完全入侵服务器。利用这个漏洞,攻击者可以发送如下所示的请求,来提升权限:

CMD/c net user admin admin /ADD

为逃避检测IPS对这种异常权限提升行为的检测,攻击者可以对RPC请求进行分片处理,下图是在单TCP数据段内进行分片后的效果:
 

IPS攻击规避技术之RPC协议规避 

由于特征信息被“打散”,传统的基于包特征匹配的方式很难处理这种规避,要检测该攻击需要依据DCERPC协议对RPC分片进行重组。可见,面对IPS攻击规避,IPS不仅需要能够对底层协议进行精确解析,还需要有非常细粒度的应用层协议处理能力。

 

【编辑推荐】

  1. IPS攻击规避技术之TCP/IP协议规避
  2. 简述如何直接或间接攻击NIDS
  3. 黑客针对缓冲区溢出绕过IDS的方式
  4. 黑客针对木马及几种罕见途径绕过IDS
  5. 黑客针对HTTP请求绕过IDS的八种方式

 

责任编辑:张启峰 来源: ZDNET安全频道
相关推荐

2010-09-08 16:09:02

2010-09-08 17:11:32

2010-09-08 16:56:17

2010-07-28 16:40:38

2012-02-01 09:36:00

2015-01-28 11:19:59

2015-03-18 10:54:32

2009-02-24 09:34:00

2023-08-02 19:51:33

2023-08-07 15:43:55

2022-02-18 14:29:43

人脸识别隐私人工智能

2020-09-18 10:46:10

网络攻击

2020-09-18 10:56:00

恶意软件沙盒网络攻击

2011-06-22 09:34:44

2017-07-17 13:30:31

2018-11-30 05:29:58

恶意软件攻击规避

2022-01-07 18:33:56

加密货币恶意软件攻击

2010-08-31 16:23:45

2012-11-26 13:32:14

2021-01-29 08:00:00

服务器安全SELinux
点赞
收藏

51CTO技术栈公众号