高级逃逸技术AET的分析文档格式.docx
《高级逃逸技术AET的分析文档格式.docx》由会员分享,可在线阅读,更多相关《高级逃逸技术AET的分析文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。
怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接安全性直接影响企业的高效运作。
上网行为和带宽的管理需求
计算机网络已经成了支撑企业业务的重要环节,同时也成为了企业员工日常不可缺少的工作及休闲的一部分。
员工们习惯了早上打开电脑访问新闻网站,到淘宝网上去购买商品,到开心网去停车、偷菜,通过炒股软件观览大盘走势、在线交易,甚至下载和在线观看电影视频、玩网络游戏……企业连接网络的初衷是加快业务效率、提高生产力,而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时,企业管理者定然是无法接受的,而如何管理网络,让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为,则是企业网络管理者最为头疼的事了。
当然,最重要的还是如何使得企业的核心资产以及核心应用不受到外界的攻击破坏而带来的经济损失以及名誉的损失。
如今,复杂的网络环境给信息安全系统管理构成了严峻的挑战。
入侵检测(IDS)和防御系统(IPS)可以帮助企业,尤其是那些本身存有漏洞的系统,实现对外部攻击的防御,因为IPS的更新是随着恶意风险的出现而进行的。
既然出现了IPS技术,同样,就会有人试图逃逸这类系统的检测。
在这种情况下,如何更好地有效地防御这种逃逸类型带来的攻击给我们的企业以及IT管理人员提出了更高的要求和更高的技术手段。
二、逃逸技术产生的历史背景
由于TCP/IP是互联网和大多数计算机网络使用的协议集,是根据1981年发布的RFC791标准的要求编写的。
其中,RFC提到,“一般而言,设备必须在发送行为上保守一点,在接收行为上宽松一点。
也就是说,设备在发送符合语法的数据报时必须谨慎一些,同时接收一切能够翻译的数据报(例如,不反对技术性错误,只要意思表达清楚、完整)”(1981年出版的Postel,23页)。
这就意味着,编写信息的方式多种多样,而且,接收主机还能一字不差地翻译这些信息。
这种宽松的方式原本是为了提高系统间互操作性的可靠性,但它同时也为大量攻击和方式提供了隐蔽的渠道来逃逸检测。
由于不同操作系统和应用程序接收数据包时的表现形式各有千秋,因此,目标主机的应用程序所看见的内容可能与网络流量中的内容完全不一样。
同样,检测系统与主机之间的网络本身可能也会改变流量。
在许多情况下,如果能够谨慎利用这些不同之处,要以看似正常和安全的方式创建数据包是完全有可能的,但当终端主机翻译时,则会形成一个可攻击终端系统的漏洞利用程序。
这类技术就是所谓的逃逸技术。
逃逸技术研究始于1990年末。
在1998年发表的论文中,Newsham和Ptacek介绍了大量可有效躲避检测系统的技术。
自那时起,该领域的新研究一直很少,感兴趣的也仅限于安全解决方案提供商或黑客社区的竞争对手。
Newsham和Ptacek介绍的基础逃逸技术之一集中于IP碎片带来的挑战。
IP碎片在RFC791标准中也有所说明,用于确保系统之间的互操作性以及处理系统间的不同网络拓扑(1981年出版的Postel)。
采用IP碎片逃逸技术,攻击者会充分利用无序拼凑碎片,或通过大量碎片来淹没IPS。
他们警告说:
“无法妥善处理无序碎片的IDS是很容易受到攻击的;
攻击者会刻意混乱拼凑碎片流以躲避IDS的检测”(Newsham和Ptacek于1998年发表的论文)。
此外,由于“必须在片段流重组到完整的IP数据报前存储接收到的碎片”,这也会给IDS系统带来一定程度上的挑战(Newsham和Ptacek于1998年发表的论文)。
他们最后得出结论,IDS和IPS架构必须能有效处理目标系统可能采用的所有碎片重组方式,也就是说IPS必须能应对所有的可能性。
如果IPS不能在应用签名前对碎片进行足够的缓冲,或确定可能出现的重新排序,那么,它不再会有恰当的上下文环境,从而可在IDS上重写数据流”(Newsham和Ptacek于1998年发表的论文)。
我们将IPS和目标系统之间的上下文环境变化称之为“状态同步破坏”。
1998年发表的论文中提到的其他逃逸技术包括各种涉及IP选项、TCP选项和TCP序列的技术。
论文中详细介绍了这些技术,此处提及是为了提供有关逃逸技术时代的更多背景信息。
1998年发表的论文中提到的许多逃逸技术仍然可有效避开现有的IPS系统。
这一惊人的事实应该会让您对安全解决方案提供商对逃逸技术的兴趣和关注程度有所了解。
许多从事安全设备认证测试的实验室,如ICSA实验室,在IPS测试套件中纳入了大量逃逸技术。
然而,由于新型漏洞和漏洞利用程序增长速度势不可挡,攻击者的收获也是极为丰盛的。
这就出现了这样一种情况:
他们更愿意继续使用最新的漏洞利用程序,而不愿意利用逃逸技术配合攻击,来避开网络安全保护设备。
比较主流的逃逸技术攻击的类型有以下几类:
分片逃逸攻击
攻击者把完整的数据流GET/bob.printer_HTTP/1.1分成了3个段分别传输给接收目标,然后在第三段上的数据故意没有传输完整,只有_HTTP/1.这个时候如何安全检测设备不能有效地重组这个完整的数据流的话并且检测出第三个段的数据部完整的,这个时候目标接收方就存在被攻击的风险,因为没有传输完整的数据有可能携带了恶意攻击代码让你去执行这个接收到的数据。
重叠逃逸攻击
攻击者利用分段的数据流在第二个分段上故意多加了一个”o”的字符。
如果安全检测设备不能识别到这个多加的字符“o”,并且把数据重组完整后传给目标接收者的话,那么目标接收很可能就存在被攻击的风险,只有目标接收执行这个接收到的数据就有可能执行了恶意攻击代码。
加入多余或者无用字节逃逸攻击
攻击者在完整的数据流前面加入任何字符或者无效字符,这个时候如何安全设备不能检测然后去掉这个多于的比如4个字节的多于字符的话,那么接收到的数据有可能就是多余的4个字节存在恶意攻击代码。
三、高级逃逸技术产生的背景
在发现高级逃逸技术产生之前,我们发现近几年在全球发生的一些重大安全事件无法来解释清楚,也都怀疑跟逃逸技术攻击相关。
比如说
2010年,纳斯达克屡遭黑客攻击
2010年,纽约纳斯达克证券交易所电脑系统数次遭黑客攻击。
这一事件引发了交易机构的担心:
如何保持电脑交易的稳定性和可靠性,如何确保投资者对交易系统充满信心。
证券交易机构知道,它们已经成为黑客的频繁攻击目标。
2011年3月,RSA遭黑客攻击,信息泄露
黑客成功入侵安全公司RSA的网络,并窃取了有关RSA的SecurID双因数验证产品的相关信息。
2011年,索尼公司被黑客窃取用户信息
这是最新的黑客攻击和安全漏洞事件。
网络入侵始于4月19日,公司当天开始调查并发现PlayStationNetwork存在极大的安全漏洞,这一网络攻击事件造成1亿多名用户的个人信息泄露。
2011年,美国数字证书机构Comodo安全漏洞
美国数字证书机构Comodo承认,公司旗下的两家注册机构遭到黑客入侵。
此次事件似乎不是3月初披露的所谓的伊朗黑客所为,月初的攻击行动导致至少5个用户受损。
2011年4月,梭子鱼公司(Barracuda)
经过几小时的自动探测,黑客发现并利用Barracuda公司网站的一个SQL入侵漏洞,对不同的数据库发起了攻击,窃取了该公司的合作伙伴、客户的联系人信息以及公司员工的个人信息。
2011年5月,洛克希德·
马丁公司(LockheedmartinCorp)
不知名黑客入侵了全球最大的国防承包商洛克希德·
马丁公司的安全网络。
2011年,L-3通信公司遭黑客攻击
国防承包商L-3通信公司遭到黑客攻击,攻击的目的是为了窃取公司的机密信息。
L-3并未透露攻击是否成功等相关信息。
2011年5月,花旗银行遭黑客攻击
花旗银行北美的20多万名持卡人个人信息(包括姓名、电子邮箱等联系信息)和账户信息全部泄露。
2011年6月,国际货币基金组织(IMF)遭黑客攻击
国际货币基金组织是一家监管全球金融系统的国际政府间组织,现有187个成员国。
该组织已经成
为网络攻击的最新目标,一些敏感信息可能已被黑客窃取。
2011年10月,日本富士重工网络遭受黑客攻击
富士重工是日本的军工企业,它正在考虑重新评估自己企业的网络安全体系
Stonesoft公司从1997年开始研究逃逸技术,一直到2010年8月份我们向全球宣布发现了一种新型的高级逃避技术(AET),这种技术会给全球范围内的现有网络安全系统构成严重的威胁。
AET威胁的发现扩展了现有的逃避技术知识。
出于协调目的,Stonesoft已将此次重大发现详细报告给CERT芬兰,并且,ICSA实验室已对其进行了证实。
Stonesoft在位于芬兰赫尔辛基的研究实验室内发现了AET攻击,并将这一发现上报给了计算机网络安全事件应急小组CERT芬兰以及ICSA实验室(这是VerizonBusiness公司的一个独立部门,主要为安全产品和联网设备提供第三方测试和认证),并发送了部分AET样本。
为协调全球网络安全技术提供商对已知漏洞进行修复,CERT芬兰于10月4日发布了一份有关高级逃避技术的漏洞声明,并计划于10月18日进行更新。
“Stonesoft发现的攻击涉及了一系列内容检测技术。
CERT芬兰、Stonesoft和其他网络安全技术提供商的持续合作对于修复这一新发现的攻击至关重要。
CERT芬兰将致力于推动合作进程,”CERT芬兰漏洞协调部经理JussiEronen说。
Stonesoft首席运营官JuhaKivikoski说:
“我们有理由相信,我们现在所看到的只是冰山的一角。
高级逃避技术的动态性和不可检测性绝对有可能直接影响整个网络安全行业。
行业将面临一场与高级威胁的无休止的对抗,我们相信只有动态解决方案才能修复此漏洞。
”
ICSA实验室入侵检测和防御项目经理JackWalsh说:
“Stonesoft发现了AET躲避网络安全系统的新方式。
我们对Stonesoft的研究进行了验证,相信这些高级逃避技术会导致企业资产丢失,给被攻击的企业带来极为严重的后果。
Stonesoft专家在测试StoneGate网络安全解决方案对最新的、最先进的威胁的防御能力时发现了这些新型威胁。
现场测试和实验数据表明,现有的许多网络安全解决方案都无法检测出AET,因此无法有效阻止攻击。
Stonesoft警告说,针对高度先进的、有目标性的攻击,全球范围内的黑客很可能已经在使用AET。
仅有部分安全防护产品的企业必须立刻行动起来,保护企业的系统安全。
抵御动态的、不断升级的AET攻击的最佳方式是采用灵活的、基于软件的安全系统,且系统必须具备远程更新和集中化管理能力,如StonesoftStoneGate网络安全解决方案。
对于新型的动态威胁如AET,这些系统有着难以匹敌的优势。
然而,如今大多数企业都使用的是静态的、基于硬件的安全解决方案,很难甚至不可能针对快速升级的、动态的威胁作出更新。
四、什么是高级逃逸技术攻击以及它带来的危害?
Stonesoft在2010年10月份发现了在TCP/IP7层中有一系列新型逃逸技术来避开目前所有主流的IPS设备的检测从而携带攻击代码进入针对目标服务器协议的漏洞进行攻击,我们统称这一系列新型逃逸技术叫做高级逃逸技术。
同时,被ICSA以及NSS证明这一系列新型逃逸技术确实不能被主流IPS设备所检测出来。
这种攻击技术可按任何顺序改变或重新组合,从而避开安全系统的检测。
从本质上讲,高级逃逸技术是动态的、不合常规的,没有数量限制,传统检测手段无法检测。
高级逃逸技术可在任何级别的TCP/IP栈上运行,可穿越多种协议或协议组合。
新型高级逃逸技术的数量将呈爆炸式增长,将对信息安全行业和全球企业构成无止境的、充满变数的挑战。
。
由于可避开现有的网络安全系统,AET为当今网络罪犯入侵任何带有漏洞的系统如ERP和CRM应用提供了一把万能钥匙。
如此一来,公司则会面临数据泄露带来的严重威胁,包括企业机密信息丢失。
此外,有组织的罪犯和黑客还会利用这些AET进行非法的、破坏性的活动。
五、高级逃逸技术的原理阐述
大多数情况下,互联网协议部署都是开放的、不安全的。
因此,大多数企业采用了先进的IT安全设备和系统软件来保护企业数字资产的安全。
通常,这类安全防护平台都采用各种各样的入侵检测系统(IDS)和/或入侵防御系统(IPS)架构作为基础组件但IP标准(尤其是报头和数据包本身的结构)固有的不安全性意味着畸形报头和/或数据包组合会破坏大多数IDS/IPS防御系统的检测方法,尽管IDS/IPS平台多么先进或富有经验。
原因是IP数据包结构是现代网络体系的基础,安全系统很难检测到不在已知结构范畴内的任何攻击矢量。
如果将IP结构看作铁路线,欧洲的标准轨距为4英尺8.5英寸(即1.435米,根据所在地区的度量标准而定),因为火车在轨道上,所以自动信令系统可轻松检测出火车的重量和速度。
通过这些数据,信令系统精确地判断出火车的类型、时刻表和目的地,这大大简化了信号控制人员的工作。
如果一台定制维护车进入轨道,为了对脱轨轨道附近进行修理,维护车车轮可以伸缩,橡胶轮胎可以扩充,在这样的情况下,会出现什么样的问题呢?
此时,信令系统无法采集相关的数据来检测车辆的类型,更不用说目的地了。
事实上,就信令系统掌握的参数,它甚至无法检测出车辆的存在。
因此,使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理也是如此。
常规IPS/IDS安全平台也无法检测出AET攻击的存在,因此,攻击代码可悄悄渗透到IT资源。
这些新型的高级逃逸技术还不知道什么时候是最后一个:
IPrandomoptions
TCPTIME_WAIT
TCPurgentpointer
SMBwrite/readpadding
SMBtransactionmethodfragmentation
SMBsessionmixing
MSRPCaltercontext
MSRPCobjectreference
MSRPCendianmanipulation
以及这些高级逃逸技术还可以任意的组合:
TOP10无法及时提供安全补丁厂商:
无法修复的高危漏洞比例:
静态防护和动态防护所产生的一个差距:
六、为什么传统的安全防护解决方案不能检测并防护?
一大部分的逃逸技术仅仅基于协议的正常功能,而且这些功能在正常的通信中被广泛的使用着。
比如IPfragmentation,TCPsegmentation,MSRPCFragmentation,TCPTIME_WAITIPrandomoptions,TCPurgentpointer。
一般的,这些逃逸不会和任何RFC有冲突,这是为什么协议检查也无法发现这些逃逸技术。
在国际组织www.mitre.org列出了多达45,000CVE标识,而传统的IPS一般只覆盖了3000–4000种的特征指纹,并且有些IPS产品出于性能考虑的原因默认仅有1000种特征指纹被检查。
所以,常规的特征指纹检测是无法完全覆盖高级逃逸技术的攻击,并且在检测方法上没有行之有效的手段,他们都是利用这种垂直的检测技术。
这种检测技术最大的弊病在于只有部分的检测数据流,并且无法判断高级逃逸技术在哪层使用,更不用说能够移除高级逃逸技术攻击的流量。
并且,没有更好地实验环境以及检测工具来分析高级逃逸技术代码以及攻击过程的回放等等措施,只能利用特征指纹来识别数据流当中存在的应用特征的攻击。
七、Stonesoft提供的解决方案是如何防护的?
1.stonesoft有一套完整的测试高级逃逸技术的攻防环境以及测试工具,并且这个环境以及可以跟国际安全组合比如ICSA以及NSS去共享研究高级逃逸技术的发展。
2.Stonesoft采用了多协议层合规检测技术来同时对所有协议层的流量进行检测并且清洗来达到去除恶意攻击代码。
Stonesoft安全产品可以同时在所有协议层进行解码和合规检测。
这种检测技术的好处在于TCP所有层的合规检测,准确识别高级逃逸技术攻击代码并且安全移动后发生告警。
3.Stonesoft提出了动态安全防护技术的理念。
我们可以提供集中管理平台,对全网的安全设备管理及告警和日志。
通过这个集中管理平台对全网的安全设备进行软件升级去更新所有协议层的合规检测技术算法,并且当有新的高级逃逸技术攻击发生的时候,可以通过及时升级产品的引擎来更新防御技术。
4.Stonesoft可以提供高性能和高背板吞吐量的产品来应对检测所耗费的性能。
八、Stonesoft公司介绍
Stonesoft来自遥远的北欧-芬兰,那里有冰冷漫长的冬季,芬兰人就是在一个恶劣的自然环境中世代拼搏,生存。
大自然造就了我们的性格:
务实的完美主义,谦逊,倔强,刚直。
这些品德已经深埋在我们的DNA里。
同样,在Stonesoft的网络安全理念上也充分体现了这些特征。
在过去的20多年,我们专注于网络安全,积累了丰富的经验,对行业发展具有很强的洞察力和前瞻性。
我们的产品服务于联合国,欧洲国家的军队网络,世界90多个国家的政府网络,以及众多的企业网,如电信,金融,电力,物流,医疗,教育等等。
美国上周提名Stonesoft为政府网络安全最佳方案提供商,也是2012年世界最值得关注的网络安全厂商。
我们为自己所取得的成绩而骄傲。
但同时我们谦逊,认真听取用户的意见,需求。
我们执着敬业,带着对网络安全的激情和热忱做产品,为用户服务。
保护用户的数字财产,为他们防御来自真实世界的威胁,这就是我们的使命。
我们经得起真实世界的终极考验,不是一味追求通过预设的商业实验室测试而得出的什么好成绩。
我们为用户把复杂的网络安全简单化,降低他们的总拥有成本TCO。
这就是为什么用户忠爱我们,力荐我们;
这就是为什么我们能够击败一个个竞争对手。
我们是一个追求创新,努力变革的团队。
我们倡导着一场革命:
传统的网络安全已经死亡,人们已应重新审视现有的已建立起来的网络安全。
未来的网络安全不是要看谁有最佳性能的防火墙,VPN,IPS,等等。
也不在于什么协议,端口。
问题不在于单一的产品盒子,而强调的是一个不间断的安全过程。
2010年Stonesoft发现并报告了一项新的网络威胁-高级逃逸技术。
直至今日世界上99%的网络安全产品对此仍束手无策,无法检测,防御,从而无力保证网络用户数字财产的安全。
当今世界互联互通,云计算平台正在扩大,不确定因素不断增加,传统的信息安全架构已经无法适应未来的发展需求,静止的硬件架构安全方案注定被淘汰。
Stonesoft致力于高效的安全引擎的开发,为用户提供动态的解决方案。
对不可预测的网络安全环境,真正实现事态感知。
Stonesoft的创新价值在于简化复杂网络安全的管理,尤其是针对保密性强的高端网络,分布式网络,以及大规模部署。
这些也完全符合云计算平台安全的需求。
我们对未来网络安全的答案是具有高效集中管理的软件解决方案。
Stonesoft交付的是能够迎战真实世界挑战的网络安全解决方案,它强调网络业务的连续性,网络安全的可扩展性和可管理性。
正如Gartner的研究报告中所提到,只有网络安全实现了可管理性,网络才具有安全性。
Stonesoft公司(HEX:
SFT1V)是一家全球性的公司,她专注于企业级的网络防护和商务连续性的保证。
她自有的StoneGate(tm)安全平台整合了防火墙、VPN和IPS,SSLVPN给苛刻的商务应用提供了有效灵活的防护。
StoneGate内置了荣获大奖的采用了负载平衡技术的StoneBeat产品,这些产品通过分布式的安全策略的执行,具有集中的管理、有效的分层防护或者深层防护。
这些工具在解决真实的问题是必须要得,这些问题是目前我们的客户在企业网络中所能遇见的。
Stonesoft提供在那些创建网络的解决方案中必须的产品,而这些创建好的网络是安全、有效、可管理和可升级的。
Stonesoft的全球总部在芬兰的赫尔辛基;
美洲总部在美国佐治亚州的亚特兰大;
亚太地区总部在北京,上海属于分支机构。
Stonesoft在美洲设有许多办事处,包括墨西哥和巴西。
她在欧洲的英国、德国、法国、意大利、荷兰和西班牙都设有分公司和办事处。
Stonesoft在全球拥有超过700名员工。
欲知详情,请访问:
升级会员 