研究人員稱，最新發(fā)現(xiàn)的一類惡意軟件“高級(jí)躲避技術(shù)（AET）”能夠隱蔽地通過(guò)大多數(shù)入侵防御系統(tǒng)，向目標(biāo)計(jì)算機(jī)注入Sasser和Conficker等著名的惡意代碼，并且不會(huì)留下進(jìn)入系統(tǒng)的任何痕跡。

據(jù)芬蘭國(guó)家計(jì)算機(jī)應(yīng)急響應(yīng)組（CERT-FI）稱，一些國(guó)家的CERT已經(jīng)向幾十家入侵防御系統(tǒng)（IPS）廠商發(fā)出通告，告知廠商這種威脅的存在，以便廠商采取防御措施。入侵防御系統(tǒng)廠商Stonesoft發(fā)現(xiàn)了這種威脅并且向芬蘭國(guó)家CERT報(bào)告了這個(gè)情況。

CERT-FI信息安全顧問(wèn)Jussi Eeronen說(shuō)，其它國(guó)家的CERT已幫助傳播這個(gè)消息。目的是讓廠商升級(jí)設(shè)備以應(yīng)對(duì)“AET”。

入侵防御系統(tǒng)和其它安全設(shè)備廠商Stonesoft說(shuō)，AET把一種以上的已知的簡(jiǎn)單躲避技術(shù)結(jié)合在一起。入侵防御系統(tǒng)能夠分別檢測(cè)這些躲避技術(shù)，但是，把多種躲避技術(shù)結(jié)合在一起就使入侵防御系統(tǒng)很難發(fā)現(xiàn)。

Stonesoft高級(jí)解決方案設(shè)計(jì)師Mark Boltz說(shuō)，AET本身不造成破壞。但是，這種技術(shù)能夠?yàn)閻阂廛浖峁╇[蔽能力，使惡意軟件能夠到達(dá)目標(biāo)系統(tǒng)。他說(shuō)，到目前為止還沒(méi)有證據(jù)表明AET已經(jīng)在現(xiàn)實(shí)中應(yīng)用。

躲避技術(shù)的出現(xiàn)已經(jīng)有十幾年時(shí)間。大多數(shù)入侵防御系統(tǒng)廠商都能夠防御這種技術(shù)。Boltz說(shuō)，但是，如果一次使用一種以上的躲避技術(shù)就能夠繞過(guò)當(dāng)前的入侵防御系統(tǒng)。

Boltz說(shuō)，把已知的躲避技術(shù)混合配對(duì)能夠產(chǎn)生2180種可能的AET。增加同時(shí)使用超過(guò)兩種技術(shù)的AET能夠使可能的種數(shù)更多，就像在已知列表中增加新的簡(jiǎn)單躲避技術(shù)一樣。

Boltz說(shuō)，在Stonesoft的測(cè)試中，一組AET被用來(lái)隱藏Conficker和Sasser蠕蟲(chóng)。它們被發(fā)送給市場(chǎng)研究公司Gartner最近發(fā)表的入侵防御系統(tǒng)魔力象限報(bào)告中排名前十的行業(yè)領(lǐng)先入侵防御系統(tǒng)。這些入侵防御系統(tǒng)沒(méi)有一臺(tái)檢測(cè)除AET。

他說(shuō)，Stonesoft自己的StoneGate入侵檢測(cè)系統(tǒng)能發(fā)現(xiàn)并攔截攻擊。

ICSA的網(wǎng)絡(luò)入侵防御系統(tǒng)項(xiàng)目經(jīng)理Jack Walsh說(shuō)，Stonesoft有關(guān)AET的說(shuō)法得到了ICSA實(shí)驗(yàn)室的證實(shí)。實(shí)驗(yàn)室允許Stonesoft使用其工具從芬蘭對(duì)一個(gè)虛擬專用網(wǎng)實(shí)施攻擊。攻擊必須穿越位于賓夕法尼亞的ICSA設(shè)施中的入侵防御系統(tǒng)。

Walsh說(shuō)，這個(gè)工具生成的AET成功地避開(kāi)了入侵防御系統(tǒng)并且使Conficker蠕蟲(chóng)抵達(dá)了攻擊目標(biāo)——帶有未修復(fù)的CVE-2008-4250安全漏洞的Windows服務(wù)器。使用Conficker蠕蟲(chóng)是因?yàn)檫@種蠕蟲(chóng)是已知的，如果這種蠕蟲(chóng)不隱蔽起來(lái)，入侵防御系統(tǒng)現(xiàn)在應(yīng)該能夠識(shí)別它。

他說(shuō)，所有進(jìn)行測(cè)試的入侵防御系統(tǒng)都沒(méi)能攔截AET，其中包括Stonesoft自己的某一個(gè)版本的入侵防御系統(tǒng)。Stonesoft稱，它最新版本的入侵防御系統(tǒng)能夠檢測(cè)到AET。但是，ICSA沒(méi)有測(cè)試這種入侵防御系統(tǒng)。

Boltz說(shuō)，IP碎片是簡(jiǎn)單躲避技術(shù)的例子。攻擊者把包含惡意軟件的數(shù)據(jù)包破碎，希望入侵防御系統(tǒng)不能把這些數(shù)據(jù)包重新組合起來(lái)，從而漏掉這些數(shù)據(jù)包中的惡意軟件，使這些惡意軟件通過(guò)。目前，大多數(shù)入侵防御系統(tǒng)擁有重新組合和篩選碎片數(shù)據(jù)包的引擎。

URL模糊是簡(jiǎn)單躲避技術(shù)的另一個(gè)例子。在這種技術(shù)中，把URL稍微進(jìn)行一下修改以便通過(guò)入侵防御系統(tǒng)。但是不能改動(dòng)過(guò)大，否則目標(biāo)計(jì)算機(jī)就不能使用它。許多入侵防御系統(tǒng)目前都能夠處理這種情況。

但是，Boltz說(shuō)，把簡(jiǎn)單躲避技術(shù)結(jié)合起來(lái)使用，一些簡(jiǎn)單躲避技術(shù)就能夠繞過(guò)入侵防御系統(tǒng)。Stonesoft還提出了一些能夠添加到這種組合中的新的簡(jiǎn)單躲避方法。

Stonesoft對(duì)它的AET工具一直是保密的，不允許把這個(gè)工具復(fù)制給CERTS，甚至不愿意提供給ICSA進(jìn)行測(cè)試。

Eeronen說(shuō)，CERT-FI希望通過(guò)告知產(chǎn)品可能受到AET影響的廠商，讓這些廠商采取措施防御這些威脅。同以前的這種通知一樣，CERT-FI將給廠商一些時(shí)間以便對(duì)它的警告做出反應(yīng)。最后，即使所有的廠商都沒(méi)有升級(jí)到能夠應(yīng)對(duì)AET，CERT-FI也將發(fā)布有關(guān)AET的正式公告。

Eeronen說(shuō)，Stonesoft今天對(duì)AET的披露與CERT-FI的正式公告是不同步的。但是，他說(shuō)，這是因?yàn)镾tonesoft是一家廠商，而不是一個(gè)研究者。他說(shuō)，這個(gè)問(wèn)題有點(diǎn)特別。他們是商業(yè)實(shí)體，有自己的商業(yè)利益。

Eeronen說(shuō)，他希望廠商能夠在年底之前解決這個(gè)問(wèn)題。

Boltz說(shuō)，使用入侵防御系統(tǒng)的企業(yè)應(yīng)該咨詢自己的廠商，看他們是否容易受到AET的攻擊。Walsh說(shuō)，總的來(lái)說(shuō)，企業(yè)應(yīng)該不斷更新其入侵防御軟件并且要知道產(chǎn)品擁有什么認(rèn)證以及這些認(rèn)證的含義是什么。

【編輯推薦】

1. 惡意軟件攻勢(shì)中的企業(yè)防御
2. IBM升級(jí)入侵防御系統(tǒng)增加虛擬補(bǔ)丁技術(shù)