9月23日下午,由51CTO承办的2013中国互联网安全大会新兴安全威胁研究分论坛召开,在此论坛上,启明星辰安全专家翟胜军表示:“AET(Advanced Evasion Technique,高级逃逸技术)给了我们一种新的思维方式,关心安全防护者使用工具的漏洞与管理中疏忽,往往可以事半功倍。”
启明星辰安全专家翟胜军
2010年10月18日,芬兰公司STONESOFT发现了很多高级逃逸技术可以穿透当时国际上很多著名大公司网络,并公布了23种高级逃逸技术细节。今年一款最新的检测工具已经能够检测到350多种逃逸技术。
在演讲中,翟胜军表示,AET这个名词出现的比较早,但是国内对AET研究不是很多,相关的公开资料很少。AET这项技术实际上就是帮助你在入侵者与目标之间建立通道,躲避网络监测手段,这个通道面对的不是目标,而是网络上的安全设备。而且,实现AET需要三个条件:一是被攻击目标有漏洞;二是有存在利用价值的代码;三是把可利用的代码下发给安全用户,如果中途被人阻断了就无法成功。
AET的历史并不短
从上图我们可以看出,AET的历史并不短。不仅如此,翟胜军表示AET技术的功效很大,且有个特点,即是不同的参数,不仅仅是自主的可以用,相互之间也可以混合用。AET技术不仅仅给了我们工具方法,实际上给了我们一种模式,不仅要关注攻击的目标,还可以关注保护目标周围的情况,尤其是使用安全的设备。
如何逃逸,躲避安全网络检测设备?翟胜军认为有以下几种思路:
◆改变自我特征
◆创新攻击模式
◆干扰监测还原:想办法干扰中间安全设备的检测方法。
他还对AET技巧做了一个小结,具体如下:
◆协议分片:针对单包检测的IPS
◆数据重叠:IPS多采用unix前向取数据
◆前序干扰:握手后先发送干扰报文,也可能包含特征,但顺序号混乱,让IPS处理机制混乱,再发送正常攻击数据
◆乱序发送:数据包顺序号混乱,干扰IPS组包还原,如顺序号回环
◆超时发送:超出IPS时间,造成组包时缺乏数据包
◆垃圾填入:握手后发垃圾数据,使数据包超长,IPS缓冲区不足,无法检测
◆瞒天过海:DDOS制造混乱,先发送特征数据包,让IPS大量报警,超出报警能力,再发送正常数据
另外,目前随着应对APT攻击的“新式武器”沙箱技术的发展,沙箱逃逸技术也开始流行。在此,安全专家翟胜军与大家分享了以下两种沙箱的实现思路:
思路一:代理模式
1. 代理模式模拟运行环境的上层接口,接收用户的所有请求,代理控制器可以对用户请求重新进行定向,实现命令重定向,或对操作地址与设备重新映射;
2. 沙箱一般只模拟主要的用户请求,很多功能“不支持”。
思路二:过滤模式
1. 过滤模式(钩子模式)是对运行环境中重要的调用进行监控,一般是修改中断调用向量,对敏感资源访问时,可以控制其行为;
2. 过滤模式只对部分调用挂钩子,不挂钩子的调用不被监控。
随着AET技术的发展,全球范围内网络安全系统受到严重的威胁,动态的升级的AET技术攻击无疑让黑客入侵如虎添翼。抵御AET攻击的方式是采用灵活的的安全系统,且系统必须具备远程更新和集中化管理能力。总之,对于新兴安全威胁AET技术,我们应该加以重视并寻求有效的防护手段。
