关于冰盾 | 使用条款 | 网站地图
 
我国防护特种网络攻击技术现状
我国防护特种网络攻击技术现状
作者:冰盾防火墙 网站:www.bingdun.com 日期:2014-11-17
 
 【 摘 要 】 文章就信息安全业界一直热议的 “APT攻击”焦点话题,在2013年底开展了一项专题调研。作者走访了十余家国内知名的信息安全专业公司,与信息安全科研一线的技术和管理人员进行了深入的技术交流和探讨。文章着重介绍了部分信息安全公司在防护特种网络攻击技术方面的现状,以期对从事信息安全建设的单位和同行有所启迪。 
中国论文网 http://www.xzbu.com/8/view-5528654.htm
  【 关键词 】 高级隐遁技术;高级持续性攻击;检测方法 
  China’s Situation of Protection Techniques against Special Network Attacks 
  Xu Jin-wei 
  (The Chinese PLA Zongcan a Research Institute Beijing 100091) 
  【 Abstract 】 By the end of 2013,the author visited more than ten domestic well-known information security companies to make a special investigation and research on the focused “APT” attack issue. During the visit, the author made deeply exchange and discussion with the first-line professional research and management personnel and gained much knowledge. This article mainly introduces the present situation of protect technology construction by some of domestic information security companies against network attacks, as an inspiration to the colleagues?and units in the information security industry. 
  【 Keywords 】 advanced evasion techniques; advanced persistent threat; detection methods 
  1 引言 
  2010年发生的“震网”病毒对伊朗布什尔核电站离心机的攻击和2013年的“斯诺登”事件,标志着信息安全进入了一个全新的时代:新型攻击者(国家组织的专业团队),采用全新的方式(APT[注1])攻击国家的重要基础设施。 
  APT攻击因其采用了各种组合隐遁技术,具有极强的隐蔽攻击能力,传统的依赖攻击特征库比对模式的IDS/IPS无法检测到它的存在,APT攻击得手后并不马上进行破坏的特性更是难以发觉。它甚至能在重要基础网络中自由进出长时间潜伏进行侦察活动,一旦时机成熟即可通过在正常网络通道中构筑的隐蔽通道盗取机密资料或进行目标破坏活动,APT的出现给网络安全带来了极大危害。目前在西方先进国家,APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。 
  从资料中得知,国外有些著名的信息安全厂商和研究机构,例如美国电信公司Verizon Business的ICSA实验室,芬兰的Stonesoft公司几年前就开展了高级隐遁技术的研究;2013年美国的网络安全公司FireEye(FEYE)受到市场追捧,因为FireEye能够解决两大真正的安全难题――能够阻止那种许多公司此前无法阻止的网络攻击,即所谓的“零天(Zeroday)”攻击和“高级持续性威胁(APT)”。零天攻击是指利用软件厂商还未发现的软件漏洞来发动网络攻击,也就是说,黑客在发现漏洞的当天就发动攻击,而不会有延迟到后几天再发动攻击,软件厂商甚至都来不及修复这些漏洞。高级持续性威胁则是由那些想进入特殊网络的黑客所发动的一系列攻击。FireEye的安全应用整合了硬件和软件功能,可实时通过在一个保护区来运行可疑代码或打开可疑电子邮件的方式来查看这些可疑代码或可疑电子邮件的行为,进而发现黑客的攻击行为。 
  APT攻击的方式和危害后果引起了我国信息安全管理机构和信息安全专业检测及应急支援队伍的高度重视。国家发改委在关于组织实施2013年信息安全专项通知中的 “信息安全产品产业化”项目中,首次明确指明“高级可持续威胁(APT)安全监测产品”是支持重点产品之一。我国的众多信息安全厂商到底有没有掌握检测和防护APT的技术手段?2013年底,带着这个疑问专门走访了几家对此有研究和技术积累的公司,听取了他们近年来在研究防护APT攻击方面所取得的成果介绍,并与技术人员进行了技术交流。 
  2 高级隐遁技术(AET[注2]) 
  根据IMB X-force小组针对2011年典型攻击情况的采样分析调查,如图1所示可以看出,有许多的攻击是未知(Unknown)原因的攻击。Gartner发布《Defining Next-Generation Network Intrusion Prevention》文章中也明确提出了利用先进技术逃避网络安全设备检查的事件越来越多。同时,NSS Lab最新的IPS测试标准《NSS Labs ips group 渗透测试工具t methodology v6.2》,已经把layered evasion(也就是AET)作为必须的测试项。 
  结合近年情况,各国基础网络和重要信息系统所面临的最新和最大的信息安全问题,即APT攻击,我们相信高级隐遁技术有可能已经在APT中被黑客广泛采用。   目前,各企事业单位为了应对网络外部攻击威胁,均在网络边界部署了入侵检测系统(简称IDS)和入侵防御系统(简称IPS),这些措施确实有效地保护了企业内部网络的安全。黑客们为了试图逃避IPS这类系统的检测,使用了大量的逃避技术。近年来,国外信息安全机构发现了一套新型逃避技术,即将以前的逃避技术进行各种新的组合,以增加IPS对入侵检测的难度。这些新型逃避技术,我们称之为高级隐遁技术(AET)。AET可利用协议的弱点以及网络通信的随意性,从而使逃避技术的数量呈指数级增长,这些技术的出现对信息安全而言无疑是个新的挑战。 
  使用畸形报头和数据流以及迷惑性代码调用的AET攻击的原理:包含AET攻击代码的非常规IP数据流首先躲避过IDS/IPS的检测,悄悄渗透到企业网中;之后,这些数据流被用规范方式重新组装成包并被发送至目标终端上。以上过程看似正常,但这样的IP包经目标终端翻译后,则会形成一个可攻击终端系统的漏洞利用程序,从而给企业的信息资源造成大规模破坏,只留下少量或根本不会留下任何审计数据痕迹,这类攻击就是所谓的隐遁攻击。 
  2.1 常见的高级隐遁技术攻击方法 
  常见的高级隐遁技术攻击方法有字符串混淆、加密和隧道、碎片技术和协议的违规。这些仅列举了TCP协议某层的几种隐遁攻击的技术,实际上高级隐遁技术千变万化,种类叠加后更是天文数字。 
  2.2 高级隐遁技术的测试 
  为了研究AET的特点,研发AET检测、防护工具,国内有必要搭建自己的高级隐遁监测审计平台来对现有的网络安全设备进行测试和分析,并根据检测结果来改进或重新部署现有网络中的网络安全设备。 
  国内某信息安全公司最近研制成功一款专门针对高级隐遁技术测试的工具CNGate-TES。CNGate-TES有针对CVE-2008-4250/CVE-2004-1315/CVE-2012-0002漏洞的各种组合、叠加隐遁模拟的测试工具,从IP、TCP、NetBios、SMB、MSRPC、HTTP等各层都有自己相应的隐遁技术。各个层之间的隐遁可以互相叠加组合,同一层内的隐遁技术也可以互相叠加组合。 
  测试的目的是检验网络中的IDS/IPS是否具备检测和防护AET的能力。 
  CNGate-TES测试环境部署如图2所示。 
  3 下一代威胁与 APT 
  下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等),组合各种其他手段(社会工程、钓鱼、供应链植入等),有针对性地对目标发起的攻击。这种攻击模式能有效穿透大多数公司的内网防御体系,攻击者成功控制了内网主机之后,再进行内部渗透或收集信息。 
  对信息系统的下一代威胁和特征有几点。 
  0DAY漏洞威胁:0DAY漏洞由于系统还未修补,而大多数用户、厂商也不知道漏洞的存在,因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞,但由于补丁修复不普遍(如第三方软件),通过变形绕过现有基于签名的检测体系而发起攻击的案例。 
  多态病毒木马威胁:已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马,而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马,他们可以绕过现有基于签名的检测体系发起攻击。 
  混合性威胁:攻击者混合多种路径、手段和目标来发起攻击,如果防御体系中存在着一个薄弱点就会被攻破,而现有安全防御体系之间缺乏关联而是独立防御,即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。 
  定向攻击威胁:攻击者发起针对具体目标的攻击,大多数情况下是从邮件、IM、SNS发起,因为这些系统账户背后标记的都是一个真实固定的人,而定向到人与他周边的关系,是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起,并和多种渗透手段组合起来,就是一种APT攻击,不过定向攻击也有大范围发起的,这种情况下攻击者出于成本和曝光风险考虑,攻击者往往使用已知的安全漏洞来大规模发起,用于撒网和捞鱼(攻击一大片潜在受害者,再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。 
  高级持续性威胁: APT是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合,是威胁中最可怕的威胁。APT是由黑客团队精心策划,为了达成即定的目标,长期持续的攻击行为。攻击者一旦攻入系统,会长期持续的控制、窃取系统信息,关键时也可能大范围破坏系统,会给受害者带来重大的损失(但受害者可能浑然不知)。APT攻击,其实是一种网络情报、间谍和军事行为。很多时候,APT都具有国家和有政治目的组织的背景,但为了商业、知识产权和经济目的的APT攻击,也不少见。 
  3.1 APT攻击过程和技术手段 
  APT攻击可以分为大的三个环节,每个环节具体的工作内容,如图3所示。 
  在攻击前奏环节,攻击者主要是做入侵前的准备工作。主要是收集信息:了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息,用于指导制定入侵方案,开发特定的攻击工具。在收集信息时,攻击者可以利用多种方式来收集信息,主要有网络公开信息收集、钓鱼收集、人肉搜集、嗅探、扫描等,信息收集是贯穿全攻击生命周期的,攻击者在攻击计划中每获得一个新的控制点,就能掌握更多的信息,指导后续的攻击。 
  技术准备:根据获取的信息,攻击者做相应的技术准备,主要有入侵路径设计并选定初始目标,寻找漏洞和可利用代码及木马(漏洞、利用代码和木马,我们统称为攻击负载),选择控制服务器和跳板。 
  周边渗透准备:入侵实际攻击目标可信的外部用户主机、外部用户的各种系统账户、外部服务器、外部基础设施等。 
  在入侵实施环节,攻击者针对实际的攻击目标,展开攻击;主要内容有攻击者利用常规的手段,将恶意代码植入到系统中;常见的做法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标,利用缺陷入侵、漏洞入侵、通过社会工程入侵、通过供应链植入等。   SHELLCODE执行:大多数情况攻击者利用漏洞触发成功后,攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行,很难被检测),实现提权并植入木马。 
  木马植入:木马植入方式有远程下载植入、绑定文档植入、绑定程序植入、激活后门和冬眠木马。 
  渗透提权:攻击者控制了内网某个用户的一台主机控制权之后,还需要在内部继续进行渗透和提权,最终逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上,到此攻击者已经成功完成了入侵。 
  在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部进行深度的渗透以保证发现后难以全部清除,主要环节有价值信息收集、传送与控制、等待与破坏;一些破坏性木马,不需要传送和控制,就可以进行长期潜伏和等待,并按照事先确定的逻辑条件,触发破坏流程,如震网,探测到是伊朗核电站的离心机环境,就触发了修改离心机转速的破坏活动,导致1000台离心机瘫痪。 
  深度渗透:攻击者为了长期控制,保证被受害者发现后还能复活,攻击者会渗透周边的一些机器,然后植入木马。 
  痕迹抹除:为了避免被发现,攻击者需要做很多痕迹抹除的工作,主要是销毁一些日志,躲避一些常规的检测手段等。 
  3.2 APT检测方法 
  随着APT攻击被各国重视以来,一些国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些检测技术主要有两种。 
  虚拟执行分析检测:通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以采用更深更强的防绕过技术和在虚拟机下层进行检测。另外,可疑性行为可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。 
  内容无签名算法检测:针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本,降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。 
  国内某公司总结了近年来对APT攻击特点的研究和检测实践,提出了建立新一代安全检测体系的设想。 
  3.2.1基于攻击生命周期的纵深检测体系 
  从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。 
  信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。 
  入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。 
  木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。 
  控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。 
  3.2.2基于信息来源的多覆盖检测 
  从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。 
  从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。 
  双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息和潜在可疑已被入侵的主机等信息。 
  从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、进行信息收集的恶意程序的窃取、扫描、嗅探等。 
  从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。 
  3.2.3基于攻击载体的多维度检测 
  针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。 
  基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。 
  基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。 
  基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。 
  基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。 
  基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。   对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段仿真,主动的对抗手段(环境检测)可以通过哪些方式检测其对抗行为。 
  综上所述,新一代的威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。只有逐步实现了以上的检测体系,才是一个最终完备的可以应对下一代威胁(包括APT)的新一代安全检测体系。 
  4 结束语 
  结合目前我国防护特种网络攻击技术现状,针对AET和APT的防护提出三点建议。 
  一是国家信息安全主管部门应将高级隐遁攻击和APT技术研究列入年度信息安全专项,引导国内信息安全厂商重点开展针对高级隐遁攻击和高级持续性威胁的防御技术研发,推动我国具有自主知识产权的新一代IDS和IPS产品产业化。 
  二是有条件的网络安全设备厂商应建设网络攻防实验室,搭建仿真实验环境,对网络IDS/IPS进行高级隐遁技术和APT的攻防测试,收集此类攻击的案例,积累检测和防御此类攻击的方法和经验。 
  三是在业界成立“防御特种网络攻击”学术联盟,定期开展学术交流并尝试制定特网攻击应急响应的防护技术要求和检测标准。 
  [注1] APT(Advanced Persistent Threat)直译为高级持续性威胁。这种威胁的特点:一是具有极强的隐蔽能力和很强的针对性;二是一种长期而复杂的威胁方式。它通常使用特种攻击技术(包括高级隐遁技术)对目标进行长期的、不定期的探测(攻击)。 
  [注2] AET(Advanced Evasion Techniques),有的文章译为高级逃避技术、高级逃逸技术,笔者认为译为高级隐遁技术比较贴切,即说明采用这种技术的攻击不留痕迹,又可躲避IDS、IPS的检测和阻拦。 
 
 

 
最新内容:
DDoS攻击防御技术的研究与实现[2014-11-17]
如何防范DDOS攻击?如何处理DDOS攻击?[2014-11-17]
安全防御------拒绝服务攻击原理及解决[2014-11-17]
Dos/DDos攻击的防御策略研究[2014-11-17]
黑客盯上无线路由器:教你设置无线路由器防止黑客入侵[2014-11-17]
您的网络已经被黑客劫持 请立即修复原因及解决方法[2014-11-17]
相关内容:

合作伙伴: 黑基网 补天科技 威盾科技 站长下载 新飞金信 北京电信 ZOL应用下载
中华人民共和国增值电信业务经营许可证京ICP备14024464 公安备案号 京1081234 
版权所有©2003-2016 冰盾防火墙  www.BingDun.com 法律声明
服务热线:(010)51661195