高级逃逸技术.pdf

高级逃逸技术高级逃逸技术技术售前高级逃逸技术高级逃逸技术技术售前逃逸技术定义定义定义定义逃避技术是一种通过伪装和/或修改网络攻击以躲避信息安全系统的检测和阻止的手段利用逃避技术目的的罪犯对具有漏洞的系统进行攻击容的攻击会被检测出并被阻止测到目前的安全系统对这些逃避技术束手无策斗机可在雷达和其它防御系统检测不到的情况下发起攻击逃逸技术或修改网络攻击以躲避信息安全利用逃避技术，高级的、怀有恶意目的的罪犯对具有漏洞的系统进行攻击通常这些带有恶意内容的攻击会被检测出并被阻止，而高级的逃避技术则不会被检目前的安全系统对这些逃避技术束手无策，就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击逃逸相关研究逃逸相关研究逃逸相关研究逃逸相关研究•A seminal text describing the attacks against IDS systems appeared in 1997(注释 - 逃逸IDS •One of the first comprehensive description of attacks was •One of the first comprehensive description of attacks was reported by Ptacek and Newsham in a technical report in 1998(注释 - 详细的技术细节描述此类攻击 •In 1998, also an article in the Phrack Magazine describes ways to by-pass network intrusion detection ) •Handley and Paxson suggest normalization in 2001 防护系统具备合法遵从检查) •Gorton and Champion suggested combinations in 2004 更复杂的合法遵从检查) •Moore and Caswell discuss evasions at Black Hat 2006 更多的人关注逃逸)逃逸相关研究逃逸相关研究逃逸相关研究逃逸相关研究A seminal text describing the attacks against IDS systems IDS检查)One of the first comprehensive description of attacks was One of the first comprehensive description of attacks was reported by Ptacek and Newsham in a technical report in 详细的技术细节描述此类攻击)In 1998, also an article in the Phrack Magazine describes pass network intrusion detection(注释 - 逃逸IPS的方式Handley and Paxson suggest normalization in 2001(注释 - 建议Gorton and Champion suggested combinations in 2004(注释 -Moore and Caswell discuss evasions at Black Hat 2006(注释 -安全防御系统的实质安全防御系统的实质安全防御系统的实质安全防御系统的实质保护主机和服务器免遭攻击风险深度检测，保证应用安全流量合法遵从检查，及识别攻击比如: 新一代防火墙, IDS/ IPS 和实例说明实例说明实例说明实例说明使得管理员推迟补丁安装Patch在部署到系统以前，足够的完整测试有些时候，产品厂商不能提供完整的防护 御安全防御系统的实质安全防御系统的实质安全防御系统的实质安全防御系统的实质(= 虚拟的虚拟的虚拟的虚拟的patch)和 UTM足够的完整测试产品厂商不能提供完整的防护，需要额外的安全系统防Normalization 合法遵从检查合法遵从检查合法遵从检查合法遵从检查•协议的合法遵从检查是防御逃逸的一种方式 •具备逃逸防护技术的系统，必须能够在多个层次实现有效率 的检查 •换言之, 所有协议需要准确解码并进行合法遵从检查 据已经具备的库准确匹配风险 现和防护现和防护Normalization 合法遵从检查合法遵从检查合法遵从检查合法遵从检查协议的合法遵从检查是防御逃逸的一种方式必须能够在多个层次实现有效率所有协议需要准确解码并进行合法遵从检查，之后根 据已经具备的库准确匹配风险 -> 仅对漏洞或风险进行准确发-Using random key 201864582972067482338388580272033223522Started at IP 10.0.1.101, MAC de:ad:01:00:01:02. Attacking against 10.0.1.200Exploit run 1: TCP evasion: time_wait, MSRPC fragstyle: 16byte, MSRPC evasion: big_endian,alter_context}-Failed to connect to shellExploit run 2: IP fragstyle: 16byte,8byte,out_of_order,fwd_overwrite,last_first,24byte, TCP fragstyle: 1byte, SMB fragstyle: 16byteExploit run 3: IP fragstyle: random_order,8byte,last_first,256byte, TCP fragstyle: 1byte, MSRPC evasion: random_object}Exploit run 4: IP fragstyle: 16byte,8byte,out_of_order,last_first,one_duplicate,256byte,24byte, TCP evasion: time_wait,urgent_ptr, MSRPC fragstyle: 16byteMicrosoft Windows XP [Version 5.1.2600]如果不能进行准确合法遵从检查直接致使安全防护系统失去防护作用 毫无用处(C) Copyright 1985-2001 Microsoft Corp.C:\WINDOWS\system32>毫无用处Using random key 201864582972067482338388580272033223522Started at IP 10.0.1.101, MAC de:ad:01:00:01:02. Attacking against 10.0.1.200Exploit run 1: TCP evasion: time_wait, MSRPC fragstyle: 16byte, MSRPC evasion: big_endian,alter_context}Exploit run 2: IP fragstyle: 16byte,8byte,out_of_order,fwd_overwrite,last_first,24byte, TCP fragstyle: 1byte, SMB fragstyle: Exploit run 3: IP fragstyle: random_order,8byte,last_first,256byte, TCP fragstyle: 1byte, MSRPC evasion: random_object}Exploit run 4: IP fragstyle: 16byte,8byte,out_of_order,last_first,one_duplicate,256byte,24byte, TCP evasion: 如果不能进行准确合法遵从检查，攻击将穿越安全防护系统直接致使安全防护系统失去防护作用，安全防护技术变得 毫无用处。

毫无用处挑战挑战挑战挑战•修改或重写协议栈，时间是受限的 •针对逃逸去修改或重写特征， •有能力去标识所有的高级逃逸技术 组合 •需要有自动完成测试的工具，准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的挑战挑战挑战挑战时间是受限的，时间是受限的有能力去标识所有的高级逃逸技术，以及数目无限大的随意，去检验防护的有效性准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的准确的标识和完整的测试实现起来是非常困难的测试工具受限测试工具受限测试工具受限测试工具受限目前有一些工具，集成了一些逃逸 的技术的技术但是，这些工具是基于不同的漏洞 风险的，并不是基于不同的逃逸技 术的所以，就无法深入的研究高级逃逸 技术，及无法提供验证防护效率的 工具集成了一些逃逸这些工具是基于不同的漏洞 并不是基于不同的逃逸技就无法深入的研究高级逃逸 及无法提供验证防护效率的当前的当前的当前的当前的目前，没有哪个工具可以实现在同一时间在不同层次完成多个逃逸技术组合 结论结论结论结论: 这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的结论结论结论结论: 这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的这样的工具需要基于独立的TCP/IP 实现逃逸而设计的 结论结论结论结论: 没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他“因此因此因此因此，，，，当前的测试是足够的当前的测试是足够的当前的测试是足够的当前的测试是足够的. 我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术因此因此因此因此，，，，当前的测试是足够的当前的测试是足够的当前的测试是足够的当前的测试是足够的. 我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术 成逃逸的实现成逃逸的实现成逃逸的实现成逃逸的实现“智慧智慧智慧智慧”没有哪个工具可以实现在同一时间在不同层次完成多个逃逸技术组合 这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的这根本是不可能的TCP/IP协议栈, 而且是专门为 实现逃逸而设计的 . 没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他没有哪个人会像发疯一样的去做他? 那将不能取得成功那将不能取得成功那将不能取得成功那将不能取得成功.我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术，，，，并且每次只在单一层次完并且每次只在单一层次完并且每次只在单一层次完并且每次只在单一层次完我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术我们包含了一小部分已知的逃逸技术，，，，并且每次只在单一层次完并且每次只在单一层次完并且每次只在单一层次完并且每次只在单一层次完 成逃逸的实现成逃逸的实现成逃逸的实现成逃逸的实现”当前的当前的当前的当前的基于此基于此基于此基于此 所有的黑客和网络犯罪者将不会做一些意料之外所有的黑客和网络犯罪者将不会做一些意料之外所有的黑客和网络犯罪者将不会做一些意料之外所有的黑客和网络犯罪者将不会做一些意料之外基于此基于此基于此基于此。