高級逃逸技術（AET的分析一、當今的網絡安全現狀當前，信息科技的發展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平臺。IT網絡的使用極大地提升了企業的核心競爭力，使企業能在信息資訊時代脫穎而出。企業利用通信網絡把孤立的單機系統連接起來，相互通信和共享資源。但由于計算機信息的共享及互聯網的特有的開放性，使得企業的信息安全問題日益嚴重。在企業對于信息化系統嚴重依賴的情況下，如何有效地增強企業安全防范能力以及有效的控制安全風險是企業迫切需要解決的問題。同時中小企業在獨特的領域開展競爭，面對競爭壓力，他們必須有效地管理成本和資源，同時維護業務完整性和網絡安全性。企業網絡中可能存在的問題：外部安全隨著互聯網的發展，網絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄漏等已成為影響最為廣泛的安全威脅。對于企業級用戶，每當遭遇這些威脅時，往往會造成數據破壞、系統異常、網絡癱瘓、信息失竊，工作效率下降，直接或間接的經濟損失都很大。內部安全據最新調查顯示，在受調查的企業中，60%以上的員工利用網絡處理私人事務。對網絡的不正當使用，降低了生產率，阻礙了電腦網絡，消耗了企業網絡資源，并引入了病毒和間諜程序，或者使得不法員工可以通過網絡泄漏企業機密，導致企業的損失。企業業務服務器不僅需要來自互聯網的安全防護，對于內網頻發的內部非正常訪問及病毒威脅，同樣需要進行網絡及應用層的安全防護。內部網絡之間、內外網絡之間的連接安全隨著企業的發展壯大及移動辦公的普及，逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網絡連接安全性直接影響企業的高效運作。上網行為和帶寬的管理需求計算機網絡已經成了支撐企業業務的重要環節，同時也成為了企業員工日常不可缺少的工作及休閑的一部分。員工們習慣了早上打開電腦訪問新聞網站，到淘寶網上去購買商品，到開心網去停車、偷菜，通過炒股軟件觀覽大盤走勢、在線交易，甚至下載和在線觀看電影視頻、玩網絡游戲??…企業連接網絡的初衷是加快業務效率、提高生產力，而原本用來收發郵件、查詢信息、視頻會議等用途的網絡變為娛樂工具時，企業管理者定然是無法接受的，而如何管理網絡，讓網絡流量健康、提高工作效率、限制或禁止上班時間的非工作行為，則是企業網絡管理者最為頭疼的事了。當然，最重要的還是如何使得企業的核心資產以及核心應用不受到外界的攻擊破壞而帶來的經濟損失以及名譽的損失。如今，復雜的網絡環境給信息安全系統管理構成了嚴峻的挑戰。入侵檢測(IDS)和防御系統(IPS)可以幫助企業，尤其是那些本身存有漏洞的系統，實現對外部攻擊的防御，因為PS的更新是隨著惡意風險的出現而進行的。既然出現了IPS技術，同樣，就會有人試圖逃逸這類系統的檢測。在這種情況下如何更好地有效地防御這種逃逸類型帶來的攻擊給我們的企業以及T管理人員提出了更高的要求和更高的技術手段。二、逃逸技術產生的歷史背景由于TCP/IP是互聯網和大多數計算機網絡使用的協議集，是根據981年發布的RFC791標準的要求編寫的。其中，RFC提到，"一般而言，設備必須在發送行為上保守一點，在接收行為上寬松一點。也就是說，設備在發送符合語法的數據報時必須謹慎一些，同時接收一切能夠翻譯的數據報(例如，不反對技術性錯誤，只要意思表達清楚、完整)”(1981年出版的Postel，23頁)。這就意味著，編寫信息的方式多種多樣，而且，接收主機還能一字不差地翻譯這些信息。這種寬松的方式原本是為了提高系統間互操作性的可靠性，但它同時也為大量攻擊和方式提供了隱蔽的渠道來逃逸檢測。由于不同操作系統和應用程序接收數據包時的表現形式各有千秋，因此，目標主機的應用程序所看見的內容可能與網絡流量中的內容完全不一樣。同樣，檢測系統與主機之間的網絡本身可能也會改變流量。在許多情況下，如果能夠謹慎利用這些不同之處，要以看似正常和安全的方式創建數據包是完全有可能的，但當終端主機翻譯時，則會形成一個可攻擊終端系統的漏洞利用程序。這類技術就是所謂的逃逸技術。逃逸技術研究始于1990年末。在1998年發表的論文中，Newsham和PtaceS紹了大量可有效躲避檢測系統的技術。自那時起，該領域的新研究一直很少，感興趣的也僅限于安全解決方案提供商或黑客社區的競爭對手oNewsham和Ptacek介紹的基礎逃逸技術之一集中于IP碎片帶來的挑戰。IP碎片在RFC791標準中也有所說明，用于確保系統之間的互操作性以及處理系統間的不同網絡拓撲1981年出版的Postel）o采用IP碎片逃逸技術，攻擊者會充分利用無序拼湊碎片，或通過大量碎片來淹沒PS。他們警告說：“無法妥善處理無序碎片的DS是很容易受到攻擊的；攻擊者會刻意混亂拼湊碎片流以躲避IDS的檢測”（Newsham和Ptacek于1998年發表的論文）。此外，由于必須在片段流重組到完整的P數據報前存儲接收到的碎片'，這也會給IDS系統帶來一定程度上的挑戰（Newsham和Ptacek于1998年發表的論文）。他們最后得出結論，IDS和IPS架構必須能有效處理目標系統可能采用的所有碎片重組方式，也就是說PS必須能應對所有的可能性。如果IPS不能在應用簽名前對碎片進行足夠的緩沖，或確定可能出現的重新排序，那么，它不再會有恰當的上下文環境，從而可在DS上重寫數據流”（Newsham和Ptacek于1998年發表的論文）。我們將IPS和目標系統之間的上下文環境變化稱之為狀態同步破壞”。1998年發表的論文中提到的其他逃逸技術包括各種涉及P選項、TCP選項和TCP序列的技術。論文中詳細介紹了這些技術，此處提及是為了提供有關逃逸技術時代的更多背景信息。1998年發表的論文中提到的許多逃逸技術仍然可有效避開現有的PS系統。這一'驚人的事實應該會讓您對安全解決方案提供商對逃逸技術的興趣和關注程度有所了解。許多從事安全設備認證測試的實驗室，如CSA實驗室，在IPS測試套件中納入了大量逃逸技術。然而，由于新型漏洞和漏洞利用程序增長速度勢不可擋，攻擊者的收獲也是極為豐盛的。這就出現了這樣一種情況：他們更愿意繼續使用最新的漏洞利用程序，而不愿意利用逃逸技術配合攻擊，來避開網絡安全保護設備。

比較主流的逃逸技術攻擊的類型有以下幾類:分片逃逸攻擊-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009-HTTP"-」SYNSEQ=10,000ACK=10T001ACKSEQ=10.0Q1Segment:ZSEQ=10,009■printerSEQ攻擊者把完整的數據流GET/bob.printer_HTTP/1.分成了3個段分別傳輸給接收目標，然后在第三段上的數據故意沒有傳輸完整，只有:HTTP/1.這個時候如何安全檢測設備不能有效地重組這個完整的數據流的話并且檢測出第三個段的數據部完整的，這個時候目標接收方就存在被攻擊的風險，因為沒有傳輸完整的數據有可能攜帶了惡意攻擊代碼讓你去執行這個接收到的數據。重疊逃逸攻擊SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013SYNACK10,001Segmenit1SEGt=10,007SEQ=10t013nterHT攻擊者利用分段的數據流在第二個分段上故意多加了一個”?！钡淖址Ｈ绻踩珯z測設備不能識別到這個多加的字符'?！?，并且把數據重組完整后傳給目標接收者的話，那么目標接收很可能就存在被攻擊的風險，只有目標接收執行這個接收到的數據就有可能執行了惡意攻擊代碼。

加入多余或者無用字節逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占加入多余或者無用字節逃逸攻擊SEQ=104001SEQ=10,000SYNACK=10,001SYN+ACKPSH+ACK5EQ=9997?工￥￡占GETZbob.prkitErHTTP?*1」PacketLegend:DataPresequenceChaffAttackerVictimAbsoluteSequenceHumber "59S7 10PMG 10,0961 1 丄GET.bab.prlnt?rHTTP/1.1L■4 0 252Header攻擊者在完整的數據流前面加入任何字符或者無效字符，這個時候如何安全設備不能檢測然后去掉這個多于的比如4個字節的多于字符的話，那么接收到的數據有可能就是多余的4個字節存在惡意攻擊代碼。三、高級逃逸技術產生的背景在發現高級逃逸技術產生之前，我們發現近幾年在全球發生的一些重大安全事件無法來解釋清楚，也都懷疑跟逃逸技術攻擊相關。比如說2010年，納斯達克屢遭黑客攻擊2010年，紐約納斯達克證券交易所電腦系統數次遭黑客攻擊。這一事件引發了交易機構的擔心：如何保持電腦交易的穩定性和可靠性，如何確保投資者對交易系統充滿信心。證券交易機構知道，它們已經成為黑客的頻繁攻擊目標。2011年3月，RSA遭黑客攻擊，信息泄露黑客成功入侵安全公司RSA的網絡，并竊取了有關RSA的SecurlD雙因數驗證產品的相關信息。2011年，索尼公司被黑客竊取用戶信息這是最新的黑客攻擊和安全漏洞事件。網絡入侵始于4月19日，公司當天開始調查并發現PlayStationNetwork存在極大的安全漏洞，這一網絡攻擊事件造成1億多名用戶的個人信息泄露。2011年，美國數字證書機構Comodo安全漏洞美國數字證書機構Comodo承認，公司旗下的兩家注冊機構遭到黑客入侵。此次事件似乎不是3月初披露的所謂的伊朗黑客所為，月初的攻擊行動導致至少5個用戶受損。2011年4月，梭子魚公司（Barracuda）經過幾小時的自動探測，黑客發現并利用Barracuda公司網站的一個SQL入侵漏洞，對不同的數據庫發起了攻擊，竊取了該公司的合作伙伴、客戶的聯系人信息以及公司員工的個人信息。2011年5月，洛克希德?馬丁公司（LockheedmartinCorp）不知名黑客入侵了全球最大的國防承包商洛克希德馬丁公司的安全網絡。2011年，L-3通信公司遭黑客攻擊國防承包商L-3通信公司遭到黑客攻擊，攻擊的目的是為了竊取公司的機密信息。L-3并未透露攻擊是否成功等相關信息。2011年5月，花旗銀行遭黑客攻擊花旗銀行北美的20多萬名持卡人個人信息（包括姓名、電子郵箱等聯系信息）和賬戶信息全部泄露。2011年6月，國際貨幣基金組織（IMF）遭黑客攻擊國際貨幣基金組織是一家監管全球金融系統的國際政府間組織，現有187個成員國。該組織已經成為網絡攻擊的最新目標，一些敏感信息可能已被黑客竊取。2011年10月，日本富士重工網絡遭受黑客攻擊富士重工是日本的軍工企業，它正在考慮重新評估自己企業的網絡安全體系Stonesoft公司從1997年開始研究逃逸技術，一直到2010年8月份我們向全球宣布發現了一種新型的高級逃避技術SET），這種技術會給全球范圍內的現有網絡安全系統構成嚴重的威脅。AET威脅的發現擴展了現有的逃避技術知識。出于協調目的，Stonesoft已將此次重大發現詳細報告給CERT芬蘭，并且，ICSA實驗室已對其進行了證實。Stonesoft在位于芬蘭赫爾辛基的研究實驗室內發現了AET攻擊，并將這一發現上報給了計算機網絡安全事件應急小組CERT芬蘭以及ICSA實驗室（這是VerizonBusiness公司的一個獨立部門，主要為安全產品和聯網設備提供第三方測試和認證），并發送了部分AET樣本。為協調全球網絡安全技術提供商對已知漏洞進行修復,CERT芬蘭于10月4日發布了一份有關高級逃避技術的漏洞聲明，并計劃于10月18日進行更新?！癝tonesoft發現的攻擊涉及了一系列內容檢測技術。CERT芬蘭、Stonesoft和其他網絡安全技術提供商的持續合作對于修復這一新發現的攻擊至關重要。CERT芬蘭將致力于推動合作進程，"CERT芬蘭漏洞協調部經理JussiEronen說。Stonesoft首席運營官JuhaKivikoski說：“我們有理由相信，我們現在所看到的只是冰山的一角。高級逃避技術的動態性和不可檢測性絕對有可能直接影響整個網絡安全行業。行業將面臨一場與高級威脅的無休止的對抗，我們相信只有動態解決方案才能修復此漏洞。”ICSA實驗室入侵檢測和防御項目經理JackWalsh說："Stonesoft發現了AET躲避網絡安全系統的新方式。我們對Stonesoft的研究進行了驗證，相信這些高級逃避技術會導致企業資產丟失，給被攻擊的企業帶來極為嚴重的后果。”Stonesoft專家在測試StoneGate網絡安全解決方案對最新的、最先進的威脅的防御能力時發現了這些新型威脅。現場測試和實驗數據表明，現有的許多網絡安全解決方案都無法檢測出AET，因此無法有效阻止攻擊。Stonesoft警告說，針對高度先進的、有目標性的攻擊，全球范圍內的黑客很可能已經在使用AET。僅有部分安全防護產品的企業必須立刻行動起來，保護企業的系統安全。抵御動態的、不斷升級的AET攻擊的最佳方式是采用靈活的、基于軟件的安全系統，且系統必須具備遠程更新和集中化管理能力，如StonesoftStoneGate網絡安全解決方案。對于新型的動態威脅如AET，這些系統有著難以匹敵的優勢。然而，如今大多數企業都使用的是靜態的、基于硬件的安全解決方案，很難甚至不可能針對快速升級的、動態的威脅作出更新。四、什么是高級逃逸技術攻擊以及它帶來的危害？Stonesoft在201（年10月份發現了在TCP/IP7層中有一系列新型逃逸技術來避開目前所有主流的IPS設備的檢測從而攜帶攻擊代碼進入針對目標服務器協議的漏洞進行攻擊，我們統稱這一系列新型逃逸技術叫做高級逃逸技術。同時，被CSA以及NSS證明這一系列新型逃逸技術確實不能被主流PS設備所檢測出來。這種攻擊技術可按任何順序改變或重新組合，從而避開安全系統的檢測。從本質上講，高級逃逸技術是動態的、不合常規的，沒有數量限制，傳統檢測手段無法檢測。高級逃逸技術可在任何級別的TCP/IP棧上運行，可穿越多種協議或協議組合。新型高級逃逸技術的數量將呈爆炸式增長，將對信息安全行業和全球企業構成無止境的、充滿變數的挑戰。。由于可避開現有的網絡安全系統，AET為當今網絡罪犯入侵任何帶有漏洞的系統如ERP和CRM應用提供了一把萬能鑰匙。如此一來，公司則會面臨數據泄露帶來的嚴重威脅，包括企業機密信息丟失。此外，有組織的罪犯和黑客還會利用這些AET進行非法的、破壞性的活動。五、高級逃逸技術的原理闡述大多數情況下，互聯網協議部署都是開放的、不安全的。因此，大多數企業采用了先進的IT安全設備和系統軟件來保護企業數字資產的安全。通常，這類安全防護平臺都采用各種各樣的入侵檢測系統（IDS）和/或入侵防御系統（IPS）架構作為基礎組件但IP標準（尤其是報頭和數據包本身的結構）固有的不安全性意味著畸形報頭和/或數據包組合會破壞大多數IDS/IPS防御系統的檢測方法，盡管IDS/IPS平臺多么先進或富有經驗。原因是IP數據包結構是現代網絡體系的基礎，安全系統很難檢測到不在已知結構范疇內的任何攻擊矢量。如果將IP結構看作鐵路線，歐洲的標準軌距為4英尺8.5英寸（即1.435米，根據所在地區的度量標準而定），因為火車在軌道上，所以自動信令系統可輕松檢測出火車的重量和速度。通過這些數據，信令系統精確地判斷出火車的類型、時刻表和目的地，這大大簡化了信號控制人員的工作。如果一臺定制維護車進入軌道，為了對脫軌軌道附近進行修理，維護車車輪可以伸縮，橡膠輪胎可以擴充，在這樣的情況下，會出現什么樣的問題呢？此時，信令系

統無法采集相關的數據來檢測車輛的類型，更不用說目的地了。事實上，就信令系統掌握的參數，它甚至無法檢測出車輛的存在。因此，使用畸形報頭和數據流以及迷惑性代碼調用的AET攻擊的原理也是如此。常規IPS/IDS安全平臺也無法檢測出AET攻擊的存在，因此，攻擊代碼可悄悄滲透到IT資源。這些新型的高級逃逸技術還不知道什么時候是最后一個：IPrandomoptionsTCPTIME_WAITTCPurgentpointerSMBwrite/readpaddingSMBtransactionmethodfragmentationSMBsessionmixingMSRPCaltercontextMSRPCobjectreferenceMSRPCendianmanipulation以及這些高級逃逸技術還可以任意的組合町進行

逃逸的逃逸技術可以組合的理論數值町進行

逃逸的TOP10無法及時提供安全補丁廠商:無法修復的高危漏洞比例:Percentcd2010HIDivaDBumwithNoRaichFeiccntofCrilical&Hi^h2010HIDisclosureswithNo-PatchAJIV^iidas-peri□H1?13feSunMicroaoft&3%11%Manila馬能Apple13%cmIBM1碼25%Google-日匪3^3■眈Linux2?苑Oracle-7?42WS|HPClBCO6^Noudl岳盹￥09&Adobe?3M2H

靜態防護和動態防護所產生的一個差距:jfi靜息防柑■辭眾方瀬崔供葉倨護型別崢恿/動懸陽護Timp2D10-2OJL報適的逃謹和際護蛻別提升預測（動態與靜慫〕AET靜態防護和動態防護所產生的一個差距:jfi靜息防柑■辭眾方瀬崔供葉倨護型別崢恿/動懸陽護Timp2D10-2OJL報適的逃謹和際護蛻別提升預測（動態與靜慫〕AET的擔現已翌適的建謎技求的總數量t傳麵的加上髙勰的）避軌術數謹六、為什么傳統的安全防護解決方案不能檢測并防護？一大部分的逃逸技術僅僅基于協議的正常功能，而且這些功能在正常的通信中被廣泛的使用著。比如IPfragmentation,TCPsegmentation,MSRPCFragmentation,TCPTIME_WAITIPrandomoptions,TCPurgentpointer—般的，這些逃逸不會和任何RFC有沖突,這是為什么協議檢查也無法發現這些逃逸技術。在國際組織列出了多達45,000CVE標識，而傳統的IPS一般只覆蓋了3000F000種的特征指紋，并且有些IPS產品出于性能考慮的原因默認僅有L000種特征指紋被檢查。所以，常規的特征指紋檢測是無法完全覆蓋高級逃逸技術的攻擊，并且在檢測方法上沒有行之有效的手段，他們都是利用這種垂直的檢測技術。

應用層1■■J鼻I.￡TCT層數據段.或偽燈數據J——IIIIIJIP層敷據包1這種檢測技術最大的弊病在于只有部分的檢測數據流，并且無法判斷高級逃逸技術在哪層使用，更不用說能夠移除高級逃逸技術攻擊的流量。并且，沒有更好地實驗環境以及檢測工具來分析高級逃逸技術代碼以及攻擊過程的回放等等措施，只能利用特征指紋來識別數據流當中存在的應用特征的攻擊。七、Stonesoft提供的解決方案是如何防護的？stonesoft有一套完整的測試高級逃逸技術的攻防環境以及測試工具，并且這個環境以及可以跟國際安全組合比如ICSA以及NSS去共享研究高級逃逸技術的發展。Stonesoft采用了多協議層合規檢測技術來同時對所有協議層的流量進行檢測并且清洗來達到去除惡意攻擊代碼。Stonesoft安全產品可以同時在所有協議層進行解碼和合規檢測。騷于數據流'全協徴樁臺池遵從檢僅和探厘檢測TCP展或偽鍛鮭Normalize 髙級逃逸同時在姜個數據層2準確的識別井清除騷于數據流'全協徴樁臺池遵從檢僅和探厘檢測TCP展或偽鍛鮭Normalize 髙級逃逸同時在姜個數據層2準確的識別井清除進行有敷的持統的 髙級逃逸找術?井臺法邊從檢査 對偽裝的咸脅進廿識別,警告和報表rtRjiSMC^施業揑高級透逸檢刪普吿和報表統汁這種檢測技術的好處在于TCP所有層的合規檢測，準確識別高級逃逸技術攻擊代碼并且安全移動后發生告警。St。nesoft提出了動態安全防護技術的理念。我們可以提供集中管理平臺，對全網的安全設備管理及告警和日志。通過這個集中管理平臺對全網的安全設備進行軟件升級去更新所有協議層的合規檢測技術算法，并且當有新的高級逃逸技術攻擊發生的時候，可以通過及時升級產品的引擎來更新防御技術。Stonesoft可以提供咼性能和咼背板吞吐量的產品來應對檢測所耗費的性能。八、Stonesoft公司介紹Stonesoft來自遙遠的北歐－芬蘭，那里有冰冷漫長的冬季，芬蘭人就是在一個惡劣的自然環境中世代拼搏，生存。大自然造就了我們的性格：務實的完美主義，謙遜，倔強，剛直。這些品德已經深埋在我們的DNA里。同樣，在Stonesoft的網絡安全理念上也充分體現了這些特征。在過去的20多年，我們專注于網絡安全，積累了豐富的經驗，對行業發展具有很強的洞察力和前瞻性。我們的產品服務于聯合國，歐洲國家的軍隊網絡，世界90多個國家的政府網絡，以及眾多的企業網，如電信，金融，電力，物流，醫療，教育等等。美國上周提名Stonesoft為政府網絡安全最佳方案提供商，也是2012年世界最值得關注的網絡安全廠商。我們為自己所取得的成績而驕傲。但同時我們謙遜，認真聽取用戶的意見，需求。我們執著敬業，帶著對網絡安全的激情和熱忱做產品，為用戶服務。保護用戶的數字財產，為他們防御來自真實世界的威脅，這就是我們的使命。我們經得起真實世界的終極考驗，不是一味追求通過預設的商業實驗室測試而得出的什么好成績。我們為用戶把復雜的網絡安全簡單化，降低他們的總擁有成本TCO。這就是為什么用戶忠愛我們，力薦我們；這就是為什么我們能夠