高级逃逸技术(AET)的分析

高级逃逸技术（AET的分析一、当今的网络安全现状当前，信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。在企业对于信息化系统严重依赖的情况下，如何有效地增强企业安全防范能力以及有效的控制安全风险是企业迫切需要解决的问题。同时中小企业在独特的领域开展竞争，面对竞争压力，他们必须有效地管理成本和资源，同时维护业务完整性和网络安全性。企业网络中可能存在的问题：外部安全随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄漏等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失都很大。内部安全据最新调查显示，在受调查的企业中，60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率，阻碍了电脑网络，消耗了企业网络资源，并引入了病毒和间谍程序，或者使得不法员工可以通过网络泄漏企业机密，导致企业的损失。企业业务服务器不仅需要来自互联网的安全防护，对于内网频发的内部非正常访问及病毒威胁，同样需要进行网络及应用层的安全防护。内部网络之间、内外网络之间的连接安全随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全性直接影响企业的高效运作。上网行为和带宽的管理需求计算机网络已经成了支撑企业业务的重要环节，同时也成为了企业员工日常不可缺少的工作及休闲的一部分。员工们习惯了早上打开电脑访问新闻网站，到淘宝网上去购买商品，到开心网去停车、偷菜，通过炒股软件观览大盘走势、在线交易，甚至下载和在线观看电影视频、玩网络游戏••…企业连接网络的初衷是加快业务效率、提高生产力，而原本用来收发邮件、查询信息、视频会议等用途的网络变为娱乐工具时，企业管理者定然是无法接受的，而如何管理网络，让网络流量健康、提高工作效率、限制或禁止上班时间的非工作行为，则是企业网络管理者最为头疼的事了。当然，最重要的还是如何使得企业的核心资产以及核心应用不受到外界的攻击破坏而带来的经济损失以及名誉的损失。如今，复杂的网络环境给信息安全系统管理构成了严峻的挑战。入侵检测(IDS)和防御系统(IPS)可以帮助企业，尤其是那些本身存有漏洞的系统，实现对外部攻击的防御，因为PS的更新是随着恶意风险的出现而进行的。既然出现了IPS技术，同样，就会有人试图逃逸这类系统的检测。在这种情况下如何更好地有效地防御这种逃逸类型带来的攻击给我们的企业以及T管理人员提出了更高的要求和更高的技术手段。二、逃逸技术产生的历史背景由于TCP/IP是互联网和大多数计算机网络使用的协议集，是根据981年发布的RFC791标准的要求编写的。其中，RFC提到，"一般而言，设备必须在发送行为上保守一点，在接收行为上宽松一点。也就是说，设备在发送符合语法的数据报时必须谨慎一些，同时接收一切能够翻译的数据报(例如，不反对技术性错误，只要意思表达清楚、完整)”(1981年出版的Postel，23页)。这就意味着，编写信息的方式多种多样，而且，接收主机还能一字不差地翻译这些信息。这种宽松的方式原本是为了提高系统间互操作性的可靠性，但它同时也为大量攻击和方式提供了隐蔽的渠道来逃逸检测。由于不同操作系统和应用程序接收数据包时的表现形式各有千秋，因此，目标主机的应用程序所看见的内容可能与网络流量中的内容完全不一样。同样，检测系统与主机之间的网络本身可能也会改变流量。在许多情况下，如果能够谨慎利用这些不同之处，要以看似正常和安全的方式创建数据包是完全有可能的，但当终端主机翻译时，则会形成一个可攻击终端系统的漏洞利用程序。这类技术就是所谓的逃逸技术。逃逸技术研究始于1990年末。在1998年发表的论文中，Newsham和PtaceS绍了大量可有效躲避检测系统的技术。自那时起，该领域的新研究一直很少，感兴趣的也仅限于安全解决方案提供商或黑客社区的竞争对手oNewsham和Ptacek介绍的基础逃逸技术之一集中于IP碎片带来的挑战。IP碎片在RFC791标准中也有所说明，用于确保系统之间的互操作性以及处理系统间的不同网络拓扑1981年出版的Postel）o采用IP碎片逃逸技术，攻击者会充分利用无序拼凑碎片，或通过大量碎片来淹没PS。他们警告说：“无法妥善处理无序碎片的DS是很容易受到攻击的；攻击者会刻意混乱拼凑碎片流以躲避IDS的检测”（Newsham和Ptacek于1998年发表的论文）。此外，由于必须在片段流重组到完整的P数据报前存储接收到的碎片'，这也会给IDS系统带来一定程度上的挑战（Newsham和Ptacek于1998年发表的论文）。他们最后得出结论，IDS和IPS架构必须能有效处理目标系统可能采用的所有碎片重组方式，也就是说PS必须能应对所有的可能性。如果IPS不能在应用签名前对碎片进行足够的缓冲，或确定可能出现的重新排序，那么，它不再会有恰当的上下文环境，从而可在DS上重写数据流”（Newsham和Ptacek于1998年发表的论文）。我们将IPS和目标系统之间的上下文环境变化称之为状态同步破坏”。1998年发表的论文中提到的其他逃逸技术包括各种涉及P选项、TCP选项和TCP序列的技术。论文中详细介绍了这些技术，此处提及是为了提供有关逃逸技术时代的更多背景信息。1998年发表的论文中提到的许多逃逸技术仍然可有效避开现有的PS系统。这一'惊人的事实应该会让您对安全解决方案提供商对逃逸技术的兴趣和关注程度有所了解。许多从事安全设备认证测试的实验室，如CSA实验室，在IPS测试套件中纳入了大量逃逸技术。然而，由于新型漏洞和漏洞利用程序增长速度势不可挡，攻击者的收获也是极为丰盛的。这就出现了这样一种情况：他们更愿意继续使用最新的漏洞利用程序，而不愿意利用逃逸技术配合攻击，来避开网络安全保护设备。

比较主流的逃逸技术攻击的类型有以下几类:分片逃逸攻击-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009■printerSEQ攻击者把完整的数据流GET/bob.printer_HTTP/1.分成了3个段分别传输给接收目标，然后在第三段上的数据故意没有传输完整，只有:HTTP/1.这个时候如何安全检测设备不能有效地重组这个完整的数据流的话并且检测出第三个段的数据部完整的，这个时候目标接收方就存在被攻击的风险，因为没有传输完整的数据有可能携带了恶意攻击代码让你去执行这个接收到的数据。重叠逃逸攻击SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013nterHT攻击者利用分段的数据流在第二个分段上故意多加了一个”。”的字符。如果安全检测设备不能识别到这个多加的字符'。”，并且把数据重组完整后传给目标接收者的话，那么目标接收很可能就存在被攻击的风险，只有目标接收执行这个接收到的数据就有可能执行了恶意攻击代码。

加入多余或者无用字节逃逸攻击SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997•工¥£占加入多余或者无用字节逃逸攻击SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997•工¥£占GETZbob.prkitErHTTP«*1」PacketLegend:DataPresequenceChaffAttackerVictimAbsoluteSequenceHumber "59S7 10PMG 10,0961 1 丄GET.bab.prlnt«rHTTP/1.1L■4 0 252Header攻击者在完整的数据流前面加入任何字符或者无效字符，这个时候如何安全设备不能检测然后去掉这个多于的比如4个字节的多于字符的话，那么接收到的数据有可能就是多余的4个字节存在恶意攻击代码。三、高级逃逸技术产生的背景在发现高级逃逸技术产生之前，我们发现近几年在全球发生的一些重大安全事件无法来解释清楚，也都怀疑跟逃逸技术攻击相关。比如说2010年，纳斯达克屡遭黑客攻击2010年，纽约纳斯达克证券交易所电脑系统数次遭黑客攻击。这一事件引发了交易机构的担心：如何保持电脑交易的稳定性和可靠性，如何确保投资者对交易系统充满信心。证券交易机构知道，它们已经成为黑客的频繁攻击目标。2011年3月，RSA遭黑客攻击，信息泄露黑客成功入侵安全公司RSA的网络，并窃取了有关RSA的SecurlD双因数验证产品的相关信息。2011年，索尼公司被黑客窃取用户信息这是最新的黑客攻击和安全漏洞事件。网络入侵始于4月19日，公司当天开始调查并发现PlayStationNetwork存在极大的安全漏洞，这一网络攻击事件造成1亿多名用户的个人信息泄露。2011年，美国数字证书机构Comodo安全漏洞美国数字证书机构Comodo承认，公司旗下的两家注册机构遭到黑客入侵。此次事件似乎不是3月初披露的所谓的伊朗黑客所为，月初的攻击行动导致至少5个用户受损。2011年4月，梭子鱼公司（Barracuda）经过几小时的自动探测，黑客发现并利用Barracuda公司网站的一个SQL入侵漏洞，对不同的数据库发起了攻击，窃取了该公司的合作伙伴、客户的联系人信息以及公司员工的个人信息。2011年5月，洛克希德•马丁公司（LockheedmartinCorp）不知名黑客入侵了全球最大的国防承包商洛克希德马丁公司的安全网络。2011年，L-3通信公司遭黑客攻击国防承包商L-3通信公司遭到黑客攻击，攻击的目的是为了窃取公司的机密信息。L-3并未透露攻击是否成功等相关信息。2011年5月，花旗银行遭黑客攻击花旗银行北美的20多万名持卡人个人信息（包括姓名、电子邮箱等联系信息）和账户信息全部泄露。2011年6月，国际货币基金组织（IMF）遭黑客攻击国际货币基金组织是一家监管全球金融系统的国际政府间组织，现有187个成员国。该组织已经成为网络攻击的最新目标，一些敏感信息可能已被黑客窃取。2011年10月，日本富士重工网络遭受黑客攻击富士重工是日本的军工企业，它正在考虑重新评估自己企业的网络安全体系Stonesoft公司从1997年开始研究逃逸技术，一直到2010年8月份我们向全球宣布发现了一种新型的高级逃避技术SET），这种技术会给全球范围内的现有网络安全系统构成严重的威胁。AET威胁的发现扩展了现有的逃避技术知识。出于协调目的，Stonesoft已将此次重大发现详细报告给CERT芬兰，并且，ICSA实验室已对其进行了证实。Stonesoft在位于芬兰赫尔辛基的研究实验室内发现了AET攻击，并将这一发现上报给了计算机网络安全事件应急小组CERT芬兰以及ICSA实验室（这是VerizonBusiness公司的一个独立部门，主要为安全产品和联网设备提供第三方测试和认证），并发送了部分AET样本。为协调全球网络安全技术提供商对已知漏洞进行修复,CERT芬兰于10月4日发布了一份有关高级逃避技术的漏洞声明，并计划于10月18日进行更新。“Stonesoft发现的攻击涉及了一系列内容检测技术。CERT芬兰、Stonesoft和其他网络安全技术提供商的持续合作对于修复这一新发现的攻击至关重要。CERT芬兰将致力于推动合作进程，"CERT芬兰漏洞协调部经理JussiEronen说。Stonesoft首席运营官JuhaKivikoski说：“我们有理由相信，我们现在所看到的只是冰山的一角。高级逃避技术的动态性和不可检测性绝对有可能直接影响整个网络安全行业。行业将面临一场与高级威胁的无休止的对抗，我们相信只有动态解决方案才能修复此漏洞。”ICSA实验室入侵检测和防御项目经理JackWalsh说："Stonesoft发现了AET躲避网络安全系统的新方式。我们对Stonesoft的研究进行了验证，相信这些高级逃避技术会导致企业资产丢失，给被攻击的企业带来极为严重的后果。”Stonesoft专家在测试StoneGate网络安全解决方案对最新的、最先进的威胁的防御能力时发现了这些新型威胁。现场测试和实验数据表明，现有的许多网络安全解决方案都无法检测出AET，因此无法有效阻止攻击。Stonesoft警告说，针对高度先进的、有目标性的攻击，全球范围内的黑客很可能已经在使用AET。仅有部分安全防护产品的企业必须立刻行动起来，保护企业的系统安全。抵御动态的、不断升级的AET攻击的最佳方式是采用灵活的、基于软件的安全系统，且系统必须具备远程更新和集中化管理能力，如StonesoftStoneGate网络安全解决方案。对于新型的动态威胁如AET，这些系统有着难以匹敌的优势。然而，如今大多数企业都使用的是静态的、基于硬件的安全解决方案，很难甚至不可能针对快速升级的、动态的威胁作出更新。四、什么是高级逃逸技术攻击以及它带来的危害？Stonesoft在201（年10月份发现了在TCP/IP7层中有一系列新型逃逸技术来避开目前所有主流的IPS设备的检测从而携带攻击代码进入针对目标服务器协议的漏洞进行攻击，我们统称这一系列新型逃逸技术叫做高级逃逸技术。同时，被CSA以及NSS证明这一系列新型逃逸技术确实不能被主流PS设备所检测出来。这种攻击技术可按任何顺序改变或重新组合，从而避开安全系统的检测。从本质上讲，高级逃逸技术是动态的、不合常规的，没有数量限制，传统检测手段无法检测。高级逃逸技术可在任何级别的TCP/IP栈上运行，可穿越多种协议或协议组合。新型高级逃逸技术的数量将呈爆炸式增长，将对信息安全行业和全球企业构成无止境的、充满变数的挑战。。由于可避开现有的网络安全系统，AET为当今网络罪犯入侵任何带有漏洞的系统如ERP和CRM应用提供了一把万能钥匙。如此一来，公司则会面临数据泄露带来的严重威胁，包括企业机密信息丢失。此外，有组织的罪犯和黑客还会利用这些AET进行非法的、破坏性的活动。五、高级逃逸技术的原理阐述大多数情况下，互联网协议部署都是开放的、不安全的。因此，大多数企业采用了先进的IT安全设备和系统软件来保护企业数字资产的安全。通常，这类安全防护平台都采用各种各样的入侵检测系统（IDS）和/或入侵防御系统（IPS）架构作为基础组件但IP标准（尤其是报头和数据包本身的结构）固有的不安全性意味着畸形报头和/或数据包组合会破坏大多数IDS/IPS防御系统的检测方法，尽管IDS/IPS平台多么先进或富有经验。原因是IP数据包结构是现代网络体系的基础，安全系统很难检测到不在已知结构范畴内的任何攻击矢量。如果将IP结构看作铁路线，欧洲的标准轨距为4英尺8.5英寸（即1.435米，根据所在地区的度量标准而定），因为火车在轨道上，所以自动信令系统可轻松检测出火车的重量和速度。通过这些数据，信令系统精确地判断出火车的类型、时刻表和目的地，这大大简化了信号控制人员的工作。如果一台定制维护车进入轨道，为了对脱轨轨道附近进行修理，维护车车轮可以伸缩，橡胶轮胎可以扩充，在这样的情况下，会出现什么样的问题呢？此时，信令系

统无法采集相关的数据来检测车辆的类型，更不用说目的地了。事实上，就信令系统掌握的参数，它甚至无法检测出车辆的存在。因此，使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理也是如此。常规IPS/IDS安全平台也无法检测出AET攻击的存在，因此，攻击代码可悄悄渗透到IT资源。这些新型的高级逃逸技术还不知道什么时候是最后一个：IPrandomoptionsTCPTIME_WAITTCPurgentpointerSMBwrite/readpaddingSMBtransactionmethodfragmentationSMBsessionmixingMSRPCaltercontextMSRPCobjectreferenceMSRPCendianmanipulation以及这些高级逃逸技术还可以任意的组合町进行

逃逸的逃逸技术可以组合的理论数值町进行

逃逸的TOP10无法及时提供安全补丁厂商:无法修复的高危漏洞比例:Percentcd2010HIDivaDBumwithNoRaichFeiccntofCrilical&Hi^h2010HIDisclosureswithNo-PatchAJIV^iidas-peri□H1?13feSunMicroaoft&3%11%Manila马能Apple13%cmIBM1码25%Google-日匪3^3■眈Linux2»苑Oracle-7?42WS|HPClBCO6^Noudl岳盹¥09&Adobe?3M2H

静态防护和动态防护所产生的一个差距:jfi静息防柑■辭眾方瀬崔供叶倨护型别峥恿/动懸陽护Timp2D10-2OJL报适的逃谨和际护蛻别提升预测（动态与静怂〕AET静态防护和动态防护所产生的一个差距:jfi静息防柑■辭眾方瀬崔供叶倨护型别峥恿/动懸陽护Timp2D10-2OJL报适的逃谨和际护蛻别提升预测（动态与静怂〕AET的担现已翌适的建谜技求的总数量t传麵的加上髙勰的）避轨术數谨六、为什么传统的安全防护解决方案不能检测并防护？一大部分的逃逸技术仅仅基于协议的正常功能，而且这些功能在正常的通信中被广泛的使用着。比如IPfragmentation,TCPsegmentation,MSRPCFragmentation,TCPTIME_WAITIPrandomoptions,TCPurgentpointer—般的，这些逃逸不会和任何RFC有冲突,这是为什么协议检查也无法发现这些逃逸技术。在国际组织列出了多达45,000CVE标识，而传统的IPS一般只覆盖了3000F000种的特征指纹，并且有些IPS产品出于性能考虑的原因默认仅有L000种特征指纹被检查。所以，常规的特征指纹检测是无法完全覆盖高级逃逸技术的攻击，并且在检测方法上没有行之有效的手段，他们都是利用这种垂直的检测技术。

应用层1■■J鼻I.£TCT层数据段.或伪燈数据J——IIIIIJIP层敷据包1这种检测技术最大的弊病在于只有部分的检测数据流，并且无法判断高级逃逸技术在哪层使用，更不用说能够移除高级逃逸技术攻击的流量。并且，没有更好地实验环境以及检测工具来分析高级逃逸技术代码以及攻击过程的回放等等措施，只能利用特征指纹来识别数据流当中存在的应用特征的攻击。七、Stonesoft提供的解决方案是如何防护的？stonesoft有一套完整的测试高级逃逸技术的攻防环境以及测试工具，并且这个环境以及可以跟国际安全组合比如ICSA以及NSS去共享研究高级逃逸技术的发展。Stonesoft采用了多协议层合规检测技术来同时对所有协议层的流量进行检测并且清洗来达到去除恶意攻击代码。Stonesoft安全产品可以同时在所有协议层进行解码和合规检测。騷于数据流'全协徴桩台池遵从检僅和探厘檢测TCP展或伪锻鮭Normalize 髙级逃逸同时在姜个数据层2准确的识别井清除騷于数据流'全协徴桩台池遵从检僅和探厘檢测TCP展或伪锻鮭Normalize 髙级逃逸同时在姜个数据层2准确的识别井清除进行有敷的持统的 髙级逃逸找术・井台法边从检査 对伪装的咸胁进廿识别,警告和报表rtRjiSMC^施业揑高级透逸检删普吿和报表统汁这种检测技术的好处在于TCP所有层的合规检测，准确识别高级逃逸技术攻击代码并且安全移动后发生告警。St。nesoft提出了动态安全防护技术的理念。我们可以提供集中管理平台，对全网的安全设备管理及告警和日志。通过这个集中管理平台对全网的安全设备进行软件升级去更新所有协议层的合规检测技术算法，并且当有新的高级逃逸技术攻击发生的时候，可以通过及时升级产品的引擎来更新防御技术。Stonesoft可以提供咼性能和咼背板吞吐量的产品来应对检测所耗费的性能。八、Stonesoft公司介绍Stonesoft来自遥远的北欧－芬兰，那里有冰冷漫长的冬季，芬兰人就是在一个恶劣的自然环境中世代拼搏，生存。大自然造就了我们的性格：务实的完美主义，谦逊，倔强，刚直。这些品德已经深埋在我们的DNA里。同样，在Stonesoft的网络安全理念上也充分体现了这些特征。在过去的20多年，我们专注于网络安全，积累了丰富的经验，对行业发展具有很强的洞察力和前瞻性。我们的产品服务于联合国，欧洲国家的军队网络，世界90多个国家的政府网络，以及众多的企业网，如电信，金融，电力，物流，医疗，教育等等。美国上周提名Stonesoft为政府网络安全最佳方案提供商，也是2012年世界最值得关注的网络安全厂商。我们为自己所取得的成绩而骄傲。但同时我们谦逊，认真听取用户的意见，需求。我们执着敬业，带着对网络安全的激情和热忱做产品，为用户服务。保护用户的数字财产，为他们防御来自真实世界的威胁，这就是我们的使命。我们经得起真实世界的终极考验，不是一味追求通过预设的商业实验室测试而得出的什么好成绩。我们为用户把复杂的网络安全简单化，降低他们的总拥有成本TCO。这就是为什么用户忠爱我们，力荐我们；这就是为什么我们能够