揭秘新恶意软件技术能避开入侵防御系

发布时间：2011-02-14 06:54:19作者：知识屋

研究人员称，最新发现的一类恶意软件“高级躲避技术(AET)”能够隐蔽地通过大多数入侵防御系统，向目标计算机注入Sasser和Conficker等着名的恶意代码，不会留下如何进入系统的任何痕迹。
    据芬兰国家计算机应急响应组(CERT-FI)称，一些国家的CERT已经向几十家入侵防御系统(IPS)厂商发出通告，告知厂商这种威胁的存在，以便厂商采取防御措施。入侵防御系统厂商Stonesoft发现了这种威胁并且向芬兰国家CERT报告了这个情况。
    CERT-FI信息安全顾问Jussi Eeronen说，其它国家的CERT已帮助传播这个消息。目的是让厂商升级设备以应对“AET”。
    入侵防御系统和其它安全设备厂商Stonesoft说，AET把一种以上的已知的简单躲避技术结合在一起。入侵防御系统能够分别检测这些躲避技术，但是，把多种躲避技术结合在一起就使入侵防御系统很难发现。
    Stonesoft高级解决方案设计师Mark Boltz说，AET本身不造成破坏。但是，这种技术能够为恶意软件提供隐蔽能力，使恶意软件能够到达目标系统。他说，到目前为止还没有证据表明AET已经在现实中应用。
    躲避技术的出现已经有十几年时间。大多数入侵防御系统厂商都能够防御这种技术。Boltz说，但是，如果一次使用一种以上的躲避技术就能够绕过当前的入侵防御系统。
    Boltz说，把已知的躲避技术混合配对能够产生2180种可能的AET。增加同时使用超过两种技术的AET能够使可能的种数更多，就像在已知列表中增加新的简单躲避技术一样。
    Boltz说，在Stonesoft的测试中，一组AET被用来隐藏Conficker和Sasser蠕虫。它们被发送给市场研究公司Gartner最近发表的入侵防御系统魔力象限报告中排名前十的行业领先入侵防御系统。这些入侵防御系统没有一台检测除AET。
    他说，Stonesoft自己的StoneGate入侵检测系统能发现并拦截攻击。
    ICSA的网络入侵防御系统项目经理Jack Walsh说，Stonesoft有关AET的说法得到了ICSA实验室的证实。实验室允许Stonesoft使用其工具从芬兰对一个虚拟专用网实施攻击。攻击必须穿越位于宾夕法尼亚的ICSA设施中的入侵防御系统。
    Walsh说，这个工具生成的AET成功地避开了入侵防御系统并且使Conficker蠕虫抵达了攻击目标——带有未修复的CVE-2008-4250安全漏洞的Windows服务器。使用Conficker蠕虫是因为这种蠕虫是已知的，如果这种蠕虫不隐蔽起来，入侵防御系统现在应该能够识别它。
    他说，所有进行测试的入侵防御系统都没能拦截AET，其中包括Stonesoft自己的某一个版本的入侵防御系统。Stonesoft称，它最新版本的入侵防御系统能够检测到AET。但是，ICSA没有测试这种入侵防御系统。
    Boltz说，IP碎片是简单躲避技术的例子。攻击者把包含恶意软件的数据包破碎，希望入侵防御系统不能把这些数据包重新组合起来，从而漏掉这些数据包中的恶意软件，使这些恶意软件通过。目前，大多数入侵防御系统拥有重新组合和筛选碎片数据包的引擎。
    URL模糊是简单躲避技术的另一个例子。在这种技术中，把URL稍微进行一下修改以便通过入侵防御系统。但是不能改动过大，否则目标计算机就不能使用它。许多入侵防御系统目前都能够处理这种情况。
    但是，Boltz说，把简单躲避技术结合起来使用，一些简单躲避技术就能够绕过入侵防御系统。Stonesoft还提出了一些能够添加到这种组合中的新的简单躲避方法。
    Stonesoft对它的AET工具一直是保密的，不允许把这个工具复制给CERTS，甚至不愿意提供给ICSA进行测试。
    Eeronen说，CERT-FI希望通过告知产品可能受到AET影响的厂商，让这些厂商采取措施防御这些威胁。同以前的这种通知一样，CERT-FI将给厂商一些时间以便对它的警告做出反应。最后，即使所有的厂商都没有升级到能够应对AET，CERT-FI也将发布有关AET的正式公告。
    Eeronen说，Stonesoft今天对AET的披露与CERT-FI的正式公告是不同步的。但是，他说，这是因为Stonesoft是一家厂商，而不是一个研究者。他说，这个问题有点特别。他们是商业实体，有自己的商业利益。
    Eeronen说，他希望厂商能够在年底之前解决这个问题。
    Boltz说，使用入侵防御系统的企业应该咨询自己的厂商，看他们是否容易受到AET的攻击。Walsh说，总的来说，企业应该不断更新其入侵防御软件并且要知道产品拥有什么认证以及这些认证的含义是什么。