9月23日下午，由51CTO承辦的2013中國互聯(lián)網(wǎng)安全大會(huì)新興安全威脅研究分論壇召開，在此論壇上，啟明星辰安全專家翟勝軍表示：“AET(Advanced Evasion Technique，高級(jí)逃逸技術(shù))給了我們一種新的思維方式，關(guān)心安全防護(hù)者使用工具的漏洞與管理中疏忽，往往可以事半功倍。”

[[88538]]

啟明星辰安全專家翟勝軍

2010年10月18日，芬蘭公司STONESOFT發(fā)現(xiàn)了很多高級(jí)逃逸技術(shù)可以穿透當(dāng)時(shí)國際上很多著名大公司網(wǎng)絡(luò)，并公布了23種高級(jí)逃逸技術(shù)細(xì)節(jié)。今年一款最新的檢測(cè)工具已經(jīng)能夠檢測(cè)到350多種逃逸技術(shù)。

在演講中，翟勝軍表示，AET這個(gè)名詞出現(xiàn)的比較早，但是國內(nèi)對(duì)AET研究不是很多，相關(guān)的公開資料很少。AET這項(xiàng)技術(shù)實(shí)際上就是幫助你在入侵者與目標(biāo)之間建立通道，躲避網(wǎng)絡(luò)監(jiān)測(cè)手段，這個(gè)通道面對(duì)的不是目標(biāo)，而是網(wǎng)絡(luò)上的安全設(shè)備。而且，實(shí)現(xiàn)AET需要三個(gè)條件：一是被攻擊目標(biāo)有漏洞;二是有存在利用價(jià)值的代碼;三是把可利用的代碼下發(fā)給安全用戶，如果中途被人阻斷了就無法成功。

AET的歷史并不短

從上圖我們可以看出，AET的歷史并不短。不僅如此，翟勝軍表示AET技術(shù)的功效很大，且有個(gè)特點(diǎn)，即是不同的參數(shù)，不僅僅是自主的可以用，相互之間也可以混合用。AET技術(shù)不僅僅給了我們工具方法，實(shí)際上給了我們一種模式，不僅要關(guān)注攻擊的目標(biāo)，還可以關(guān)注保護(hù)目標(biāo)周圍的情況，尤其是使用安全的設(shè)備。

如何逃逸，躲避安全網(wǎng)絡(luò)檢測(cè)設(shè)備?翟勝軍認(rèn)為有以下幾種思路：

◆改變自我特征

◆創(chuàng)新攻擊模式

◆干擾監(jiān)測(cè)還原：想辦法干擾中間安全設(shè)備的檢測(cè)方法。

他還對(duì)AET技巧做了一個(gè)小結(jié)，具體如下：

◆協(xié)議分片：針對(duì)單包檢測(cè)的IPS

◆數(shù)據(jù)重疊：IPS多采用unix前向取數(shù)據(jù)

◆前序干擾：握手后先發(fā)送干擾報(bào)文，也可能包含特征，但順序號(hào)混亂，讓IPS處理機(jī)制混亂，再發(fā)送正常攻擊數(shù)據(jù)

◆亂序發(fā)送：數(shù)據(jù)包順序號(hào)混亂，干擾IPS組包還原，如順序號(hào)回環(huán)

◆超時(shí)發(fā)送：超出IPS時(shí)間，造成組包時(shí)缺乏數(shù)據(jù)包

◆垃圾填入：握手后發(fā)垃圾數(shù)據(jù)，使數(shù)據(jù)包超長(zhǎng)，IPS緩沖區(qū)不足，無法檢測(cè)

◆瞞天過海：DDOS制造混亂，先發(fā)送特征數(shù)據(jù)包，讓IPS大量報(bào)警，超出報(bào)警能力，再發(fā)送正常數(shù)據(jù)

另外，目前隨著應(yīng)對(duì)APT攻擊的“新式武器”沙箱技術(shù)的發(fā)展，沙箱逃逸技術(shù)也開始流行。在此，安全專家翟勝軍與大家分享了以下兩種沙箱的實(shí)現(xiàn)思路：

思路一：代理模式

1. 代理模式模擬運(yùn)行環(huán)境的上層接口，接收用戶的所有請(qǐng)求，代理控制器可以對(duì)用戶請(qǐng)求重新進(jìn)行定向，實(shí)現(xiàn)命令重定向，或?qū)Σ僮鞯刂放c設(shè)備重新映射;

2. 沙箱一般只模擬主要的用戶請(qǐng)求，很多功能“不支持”。

思路二：過濾模式

1. 過濾模式(鉤子模式)是對(duì)運(yùn)行環(huán)境中重要的調(diào)用進(jìn)行監(jiān)控，一般是修改中斷調(diào)用向量，對(duì)敏感資源訪問時(shí)，可以控制其行為;

2. 過濾模式只對(duì)部分調(diào)用掛鉤子，不掛鉤子的調(diào)用不被監(jiān)控。

隨著AET技術(shù)的發(fā)展，全球范圍內(nèi)網(wǎng)絡(luò)安全系統(tǒng)受到嚴(yán)重的威脅，動(dòng)態(tài)的升級(jí)的AET技術(shù)攻擊無疑讓黑客入侵如虎添翼。抵御AET攻擊的方式是采用靈活的的安全系統(tǒng)，且系統(tǒng)必須具備遠(yuǎn)程更新和集中化管理能力?？傊瑢?duì)于新興安全威脅AET技術(shù)，我們應(yīng)該加以重視并尋求有效的防護(hù)手段。