《高级逃逸技术研究-stonesoft》由会员分享,可在线阅读,更多相关《高级逃逸技术研究-stonesoft(37页珍藏版)》请在金锄头文库上搜索。
1、高级逃逸技术研究 (Advanced Evasion Techniques)议议 题题1。什么是逃逸攻击技术? 2。AET之前逃逸是如何攻击以及 被识别的? 3。AET是如何发现的? 4。Stonesoft是如何防御AET 攻击的以及我们的研发工具什么叫逃逸攻击技术?什么叫逃逸攻击技术?定义定义逃逸技术是一种通过伪装和/或修改网络攻击以躲避信息安全系统的检测和阻止的手段。利用逃避技术,高级的、怀有恶意目的的罪犯对具有漏洞的系统进行攻击。通常这些带有恶意内容的攻击会被检测出并被阻止,而高级的逃逸技术则不会被检测到。目前的安全系统对这些高级逃逸技术束手无策,就像隐形战斗机可在雷达和其它防御系统检测
2、不到的情况下发起攻击逃逸相关的研究逃逸相关的研究A seminal text describing the attacks against IDS systems appeared in 1997(注释 - 逃逸IDS检查) One of the first comprehensive description of attacks was reported by Ptacek and Newsham in a technical report in 1998(注释 - 详细的技术细节描述此类攻击) In 1998, also an article in the Phrack Magazine
3、describes ways to by-pass network intrusion detection(注释 - 逃逸IPS的方式 ) Handley and Paxson suggest normalization in 2001(注释 - 建议 防护系统具备合法遵从检查) Gorton and Champion suggested combinations in 2004(注释 - 更复杂的合法遵从检查) Moore and Caswell discuss evasions at Black Hat 2006(注释 - 更多的人关注逃逸)分片逃逸攻击重叠逃逸攻击加入多余或者无用字节逃逸
4、攻击入侵防御系统的本质入侵防御系统的本质保护主机和服务器免遭远程攻击风险 实施深度包检测,保证应用安全 流量合法遵从检查以及识别攻击AETs的发现历程的发现历程Stonesoft在ICSA以及NSS Labs的逃逸测试不太理想 我们的研发以及安全分析专家利用自己的研发工具 (Predator)发现可以创建出很多的逃逸技术的结合。 利用这些逃逸技术的结合我们发现能轻易地逃避我们自己IPS的检测以及告警。同时,我们通过测试很多Gartner排名靠前的IPS设备以及防火墙设备发现同样能轻易逃避不留任何痕迹,于是我们统称这一类的逃逸技术为高级逃逸技术(AET) 这并不是新的漏洞以及威胁,只是在互联网上
5、有重大的安全 威胁以及有可能造成企业资产和数据的丢失,造成大的恐慌 !如果不能进行准确合法标准化检查,攻击将穿越安全防护系统。直接致使安全防护系统失去防护作用,导致安全防护系统变得 毫无用处。rootipforge:/usr/local/predator# sh pwn-through-snortInitializing IPForge based on the configuration.-Using random key 201864582972067482338388580272033223522Started at IP 10.0.1.101, MAC de:ad:01:00:01:0
6、2. Attacking against 10.0.1.200Exploit run 1: TCP evasion: time_wait, MSRPC fragstyle: 16byte, MSRPC evasion: big_endian,alter_context-Failed to connect to shellExploit run 2: IP fragstyle: 16byte,8byte,out_of_order,fwd_overwrite,last_first,24byte, TCP fragstyle: 1byte, SMB fragstyle: 16byteExploit
7、run 3: IP fragstyle: random_order,8byte,last_first,256byte, TCP fragstyle: 1byte, MSRPC evasion: random_objectExploit run 4: IP fragstyle: 16byte,8byte,out_of_order,last_first,one_duplicate,256byte,24byte, TCP evasion: time_wait,urgent_ptr, MSRPC fragstyle: 16byteMicrosoft Windows XP Version 5.1.260
8、0(C) Copyright 1985-2001 Microsoft Corp.C:WINDOWSsystem32举例说明逃逸攻击时如何实现的举例说明逃逸攻击时如何实现的Normalization 标准化检查标准化检查协议的标准化检查是防御逃逸的一种方式 具备逃逸防护技术就绪的系统取决于它有能力和有效率在所 有层面实现标准化检查。 这就是说, 所有协议需要准确解码并进行标准化检查,之后根 据已经具备的指纹特征准确匹配风险 - 这个需求仅对漏洞或 风险表现进行准确发现和防护TCP Normalization举例说明TCP Normalization是如何实现的挑战挑战修改或重写协议堆栈是非常耗时
9、的 针对逃逸去修改或重写特征签名也是非常耗时的 有能力去标识所有的高级逃逸技术,以及数目无限大的随意 组合 需要有自动的办法去做逃逸保护测来检验防护的有效性准确的标识和完整的测试实现起来是非常困难的。准确的标识和完整的测试实现起来是非常困难的。测试工具受限测试工具受限目前有一些工具,集成了多个逃逸 技术然而,这些工具是基于不同的漏洞 风险导向的,并不是基于不同的逃 逸技术导向的所以,就无法深入的研究高级逃逸 技术,及无法提供验证防护效率的 工具。当前的当前的 “智慧智慧”基于此基于此,所有的黑客和网络犯罪者将不会做一些意料之外所有的黑客和网络犯罪者将不会做一些意料之外 的事情,的事情, 这是真
10、实的吗这是真实的吗?而且他们仅仅会使用目前所知道的有限的逃逸技术而且他们仅仅会使用目前所知道的有限的逃逸技术.对对.现在是需要彻底清醒的时候了现在是需要彻底清醒的时候了.IP fragmentation with manipulated fragment size and order TCP segmentation with manipulated segment size and order SMB fragmentation SMP transaction write method MSRPC multi-bind (bind to multiple “unnecessary or no
11、n- existent” contexts + the vulnerable context) MSRPC fragmentation MSRPC encryption甚至这些常规的逃逸技术,仍然可以有效进行逃逸。甚至这些常规的逃逸技术,仍然可以有效进行逃逸。已知有限的逃逸技术已知有限的逃逸技术一些新型的逃逸技术一些新型的逃逸技术IP random options TCP TIME_WAIT TCP urgent pointer SMB write/read padding SMB transaction method fragmentationSMB session mixingMSRPC
12、alter contextMSRPC object referenceMSRPC endian manipulation就在此时扫描检测还在继续,就在此时扫描检测还在继续, 不知道什么时候将不知道什么时候将 是最后一个是最后一个.逃逸的能力如果协议的堆栈不理解这个逃逸,并且流量没有被合 法标准的检查,IPS特征签名可以完全地逃避,。 举例. SMB和MSRPC特征签名不能考虑分片,或 者其它的随机选择,或者改变逐包发送的顺序。Example: MSRPCEthernetVLANsIPv4IPv6TCPUDPNetBIOS HTTPSMBSMB2MSRPCApplicationStonesoft
13、 的的IPS已经率先加入了所有的反逃逸已经率先加入了所有的反逃逸 技术,同时更新了最新的引擎版本用来防护高级技术,同时更新了最新的引擎版本用来防护高级 逃逸技术!逃逸技术!Stonesoft Anti-Eavsion Ready分层的标准化检测在StoenGate IPS中协议解码是在所有的协议层进行标准化检测独立的特征匹配指纹不需要去担心逃逸,因为标准化检测就已经可以对付它们了。动态化保护协议解码随着IPS软件升级在所有的协议层更新的。当新的反逃逸更新可用后,IPS引擎会自动通过Stonesoft的管理中心 进行远程更新。StoneGate IPS 防范AET的攻击IP在StoenGate
14、IPS中协议解码是在所有的协议层进行标准化检测,IP层的报 文需要完整,重叠或者有冲突的报文被IPS丢弃TCPIPS会根据TCP协议去重组分片数据包,确保只有一个唯一的完整的数据包 传递到目的.紧急的数据包必须是在数据包头的,只要发现这个无用的数据包,IPS则丢弃无序的数据包IPS根据所收到的数据包来重新排列顺序StoneGate 协议解码和标准化检测IPS 资源的处理1。正常情况下,IPS对于资源的处理都需要牺牲一些性能的影响。2。StoneGate IPS如何处理自身资源的问题来权衡IPS性能和抵御AET攻击2.1 第一种办法,修改TCP包头和选项的字节2.2 第二种办法,选择性的丢弃TC
15、P 分段字节StoneGate 协议解码和标准化检测Predator 3.0为自动测试网络安全设备建立的研究环境 逃逸模拟器逃逸模拟器 模拟加载的协议,但是留下有效负载完整的作为一个实际 所看到的攻击目标的服务器 能够用多个,随机运行的逃逸技术同时用在多个层次Predator 架构架构它不依赖操作系统的它不依赖操作系统的TCP/IP堆栈堆栈它打破传统发送和自由接收规则。(参考RFC 791)它每次用不止一个逃逸技术它不假设TCP/IP的下级是静态的和因此保护好的。它建立在 IPForge之上的 真实的TCP/IP堆栈嵌入在Ruby和不依赖于系统的TCP/IP堆栈 能够在TCP/IP所有层次测试
16、Predator 进化进化 2007写出第一个版本 有12个逃逸不能堆叠 现在的版本有180+逃逸可以堆叠,而且还在继 续发现 2180= 1532495540865888858358347027150309183618739122183602176180!= 2008960624991342996569513368984668389175403407988677779404353351600448609533959809411801381120973097356315941010373996096710321321863314 9527360959853196673097294565355881980647506435385685815744504080920956035846331964466489111425643001782414179675381819233864230269332
