揭秘能避開入侵防御系統(tǒng)的新惡意軟件技術(shù)
研究人員稱,最新發(fā)現(xiàn)的一類惡意軟件“高級躲避技術(shù)(AET)”能夠隱蔽地通過大多數(shù)入侵防御系統(tǒng),向目標(biāo)計(jì)算機(jī)注入Sasser和Conficker等著名的惡意代碼,并且不會留下進(jìn)入系統(tǒng)的任何痕跡。
據(jù)芬蘭國家計(jì)算機(jī)應(yīng)急響應(yīng)組(CERT-FI)稱,一些國家的CERT已經(jīng)向幾十家入侵防御系統(tǒng)(IPS)廠商發(fā)出通告,告知廠商這種威脅的存在,以便廠商采取防御措施。入侵防御系統(tǒng)廠商Stonesoft發(fā)現(xiàn)了這種威脅并且向芬蘭國家CERT報(bào)告了這個情況。
CERT-FI信息安全顧問Jussi Eeronen說,其它國家的CERT已幫助傳播這個消息。目的是讓廠商升級設(shè)備以應(yīng)對“AET”。
入侵防御系統(tǒng)和其它安全設(shè)備廠商Stonesoft說,AET把一種以上的已知的簡單躲避技術(shù)結(jié)合在一起。入侵防御系統(tǒng)能夠分別檢測這些躲避技術(shù),但是,把多種躲避技術(shù)結(jié)合在一起就使入侵防御系統(tǒng)很難發(fā)現(xiàn)。
Stonesoft高級解決方案設(shè)計(jì)師Mark Boltz說,AET本身不造成破壞。但是,這種技術(shù)能夠?yàn)閻阂廛浖峁╇[蔽能力,使惡意軟件能夠到達(dá)目標(biāo)系統(tǒng)。他說,到目前為止還沒有證據(jù)表明AET已經(jīng)在現(xiàn)實(shí)中應(yīng)用。
躲避技術(shù)的出現(xiàn)已經(jīng)有十幾年時間。大多數(shù)入侵防御系統(tǒng)廠商都能夠防御這種技術(shù)。Boltz說,但是,如果一次使用一種以上的躲避技術(shù)就能夠繞過當(dāng)前的入侵防御系統(tǒng)。
Boltz說,把已知的躲避技術(shù)混合配對能夠產(chǎn)生2180種可能的AET。增加同時使用超過兩種技術(shù)的AET能夠使可能的種數(shù)更多,就像在已知列表中增加新的簡單躲避技術(shù)一樣。
Boltz說,在Stonesoft的測試中,一組AET被用來隱藏Conficker和Sasser蠕蟲。它們被發(fā)送給市場研究公司Gartner最近發(fā)表的入侵防御系統(tǒng)魔力象限報(bào)告中排名前十的行業(yè)領(lǐng)先入侵防御系統(tǒng)。這些入侵防御系統(tǒng)沒有一臺檢測除AET。
他說,Stonesoft自己的StoneGate入侵檢測系統(tǒng)能發(fā)現(xiàn)并攔截攻擊。
ICSA的網(wǎng)絡(luò)入侵防御系統(tǒng)項(xiàng)目經(jīng)理Jack Walsh說,Stonesoft有關(guān)AET的說法得到了ICSA實(shí)驗(yàn)室的證實(shí)。實(shí)驗(yàn)室允許Stonesoft使用其工具從芬蘭對一個虛擬專用網(wǎng)實(shí)施攻擊。攻擊必須穿越位于賓夕法尼亞的ICSA設(shè)施中的入侵防御系統(tǒng)。
Walsh說,這個工具生成的AET成功地避開了入侵防御系統(tǒng)并且使Conficker蠕蟲抵達(dá)了攻擊目標(biāo)——帶有未修復(fù)的CVE-2008-4250安全漏洞的Windows服務(wù)器。使用Conficker蠕蟲是因?yàn)檫@種蠕蟲是已知的,如果這種蠕蟲不隱蔽起來,入侵防御系統(tǒng)現(xiàn)在應(yīng)該能夠識別它。
他說,所有進(jìn)行測試的入侵防御系統(tǒng)都沒能攔截AET,其中包括Stonesoft自己的某一個版本的入侵防御系統(tǒng)。Stonesoft稱,它最新版本的入侵防御系統(tǒng)能夠檢測到AET。但是,ICSA沒有測試這種入侵防御系統(tǒng)。
Boltz說,IP碎片是簡單躲避技術(shù)的例子。攻擊者把包含惡意軟件的數(shù)據(jù)包破碎,希望入侵防御系統(tǒng)不能把這些數(shù)據(jù)包重新組合起來,從而漏掉這些數(shù)據(jù)包中的惡意軟件,使這些惡意軟件通過。目前,大多數(shù)入侵防御系統(tǒng)擁有重新組合和篩選碎片數(shù)據(jù)包的引擎。
URL模糊是簡單躲避技術(shù)的另一個例子。在這種技術(shù)中,把URL稍微進(jìn)行一下修改以便通過入侵防御系統(tǒng)。但是不能改動過大,否則目標(biāo)計(jì)算機(jī)就不能使用它。許多入侵防御系統(tǒng)目前都能夠處理這種情況。
但是,Boltz說,把簡單躲避技術(shù)結(jié)合起來使用,一些簡單躲避技術(shù)就能夠繞過入侵防御系統(tǒng)。Stonesoft還提出了一些能夠添加到這種組合中的新的簡單躲避方法。
Stonesoft對它的AET工具一直是保密的,不允許把這個工具復(fù)制給CERTS,甚至不愿意提供給ICSA進(jìn)行測試。
Eeronen說,CERT-FI希望通過告知產(chǎn)品可能受到AET影響的廠商,讓這些廠商采取措施防御這些威脅。同以前的這種通知一樣,CERT-FI將給廠商一些時間以便對它的警告做出反應(yīng)。最后,即使所有的廠商都沒有升級到能夠應(yīng)對AET,CERT-FI也將發(fā)布有關(guān)AET的正式公告。
Eeronen說,Stonesoft今天對AET的披露與CERT-FI的正式公告是不同步的。但是,他說,這是因?yàn)镾tonesoft是一家廠商,而不是一個研究者。他說,這個問題有點(diǎn)特別。他們是商業(yè)實(shí)體,有自己的商業(yè)利益。
Eeronen說,他希望廠商能夠在年底之前解決這個問題。
Boltz說,使用入侵防御系統(tǒng)的企業(yè)應(yīng)該咨詢自己的廠商,看他們是否容易受到AET的攻擊。Walsh說,總的來說,企業(yè)應(yīng)該不斷更新其入侵防御軟件并且要知道產(chǎn)品擁有什么認(rèn)證以及這些認(rèn)證的含義是什么。
【編輯推薦】
