什么是入侵躲避技術(shù)

2010年10月18日，芬蘭的Stonesoft公司宣布發(fā)現(xiàn)了一種新型的高級逃逸技術(shù)(AET：Advanced Evasion Technique)，可以輕松躲避目前的IPS/IDS檢測，成功入侵目標(biāo)服務(wù)器，震驚了信息安全界。作為這個技術(shù)的佐證之一，就是近年來令大家迷惑的未知攻擊越來越多，未知攻擊就是只知道被攻擊了的事實，卻不知道黑客采用了什么手段，何時進行的入侵，遺憾的是目前的安全措施都沒有發(fā)現(xiàn)其蹤跡。

后來，Stonesoft公開了其中的部分技術(shù)細(xì)節(jié)，大概40多種組合躲避技術(shù)，并發(fā)布一個針對漏洞(CVE-2008-4250/CVE-2004-1315)的躲避技術(shù)演示工具軟件。演示結(jié)果簡單明了：入侵者對沒有打補丁的目標(biāo)服務(wù)器直接入侵，成功建立遠(yuǎn)程SHELL;中間部署IPS設(shè)備后，開啟安全防護策略，直接入侵則不再成功;通過調(diào)整軟件上的組合參數(shù)，如IP參數(shù)、TCP參數(shù)等，很快入侵成功的SHELL窗口再次打開。

其實早在1998年Newsham和Ptacek就發(fā)表論文，討論利用IP碎片技術(shù)躲避網(wǎng)絡(luò)入侵檢測設(shè)備了，只是當(dāng)時沒有引起安全界的重視，而他們的研究對黑客來說，可謂是思路廣開，隨后的幾年，這種技術(shù)被廣泛使用于實際的入侵攻擊中，尤其是APT攻擊，針對性很強，效果非常好。

高級逃逸技術(shù)(AET)是黑客利用協(xié)議組合的技巧，躲過網(wǎng)絡(luò)上安全措施的檢查，成功抵達(dá)目標(biāo)，實施入侵攻擊。我更喜歡翻譯成為高級躲避技術(shù)，或者是入侵躲避技術(shù);躲避是指還處在你監(jiān)視環(huán)境下繼續(xù)生存，但我成功地“隱身”了自己，逃逸則是我設(shè)法逃出你的監(jiān)視范圍。入侵躲避技術(shù)的目的還是要入侵，而不是逃走了事。下圖是入侵躲避技術(shù)的原理：

入侵躲避技術(shù)的分類：

入侵躲避技術(shù)可謂是種類繁多，實際上就是利用安全設(shè)備與目標(biāo)主機對各種協(xié)議、各種字符集，以及他們的組合處理的差異，合理地躲避了檢查，成功入侵了目標(biāo)。因此，入侵躲避技術(shù)是有針對性的，不是一種方式走天下，而是在具體的入侵環(huán)境中，選擇不同的參數(shù)組合、協(xié)議組合、字符集組合，達(dá)到躲避的目的。

根據(jù)躲避安全措施的不同分為：

1. 網(wǎng)絡(luò)入侵躲避技術(shù)：躲避網(wǎng)絡(luò)上的安全檢查，如FWIDSIPSWAFUTM等，其中主要部分是IPS。需要躲避的是入侵時的攻擊行為，如漏洞探測，上傳的惡意代碼，如ShellCode，下傳敏感信息，如口令文件;

2. 主機入侵躲避技術(shù)：躲避主機(目標(biāo)服務(wù)器)上的安全檢查，如主機防入侵防御軟件主機防病毒軟件等。典型的技術(shù)是進程注入、rootkit等。

其中網(wǎng)絡(luò)躲避又可以根據(jù)躲避的方向分為：

1. 單向躲避：目標(biāo)點沒有接應(yīng)的，躲避了安全檢查的攻擊流應(yīng)該能被目標(biāo)主機正常“理解”，完成入侵行為，否則即使躲避了中間的安全檢查，也達(dá)不到入侵的目的。單向躲避一般應(yīng)用在入侵過程中;

2. 雙向躲避：目標(biāo)點有接應(yīng)者，只要躲避了中間的安全檢查，到達(dá)目標(biāo)后，接應(yīng)者負(fù)責(zé)信息的還原。雙向躲避一般應(yīng)用在攻擊成功后的惡意代碼傳遞與遠(yuǎn)程控制聯(lián)絡(luò)。

常見的網(wǎng)絡(luò)躲避技術(shù)有下面幾類：

1. 字符變換：IPS一般基于特征比對與行為模式識別，若把傳輸?shù)膬?nèi)容變成檢查者不認(rèn)識的“外文”，就容易蒙混過關(guān)。這個方法常被用在注入攻擊中的不同字符集之間的轉(zhuǎn)換。尋找到IPS與目標(biāo)主機對某字符集解釋的差異，就可以實施躲避攻擊;典型的方式是SQL注入;

2. 協(xié)議組合：每個業(yè)務(wù)鏈接會使用多個協(xié)議，利用網(wǎng)絡(luò)各種協(xié)議的參數(shù)組合，如包大小、碎片處理、重疊處理、多線程傳送等，由于IPS與目標(biāo)主機解析協(xié)議的處理方式不同，就可以躲避IPS的特征檢查，同時又可以達(dá)到攻擊的目的;

3. 傳輸加密：加密本是直接躲避技術(shù)的首選，但加密需要到達(dá)目標(biāo)解密后才能使用，而在攻擊過程中，目標(biāo)的解析者是標(biāo)準(zhǔn)的應(yīng)用服務(wù)，加密就不能達(dá)到入侵效果。同時，越來越的網(wǎng)絡(luò)環(huán)境中限制加密的連接，因為管理者不能監(jiān)控你的通訊內(nèi)容;因此，加密方法一般使用在雙向躲避的部分環(huán)境中。

涉及主機躲避技術(shù)，本人在《服務(wù)器入侵加固的幾種方式》中有所介紹，本文主要討論網(wǎng)絡(luò)躲避技術(shù)，就重疊分片躲避與多線程躲避為例，分析一下網(wǎng)絡(luò)躲避技術(shù)的原理。

重疊分片躲避技術(shù)分析

把一個大的數(shù)據(jù)包分成多個切片(IP包)傳輸，是TCP協(xié)議的功能之一。正常的情況下接收端按照切片的編號、偏移量，再重新組裝成完整的數(shù)據(jù)包。

正常的協(xié)議解析過程是每個分片順序排列，并且按序號送達(dá)目的主機。由于網(wǎng)絡(luò)的不同路徑延遲不同，造成到達(dá)目標(biāo)的分片不一定是順序的;某個分片或許中途損壞要重傳，延遲自然更大一些;有些系統(tǒng)本身的Bug，分片時偏移量寫錯了，造成分片之間有重疊…

這里只討論一種分片重疊的躲避技術(shù)：

我們可以看到，在正常的分片中，第二個分片中有惡意代碼的特征，IPS通過緩存各個分片的負(fù)載，就可以還原數(shù)據(jù)包，自然就可以發(fā)現(xiàn)這個特征。

為了躲避IPS的檢測，我們故意把第一分片的后面增加了一段隨機數(shù)據(jù)(其大小甚至可以覆蓋分片2，或更長)，同時增加分片1的長度，分片2與分片3都不做改動。

這樣分片1與分片2的內(nèi)容就有重合了，目標(biāo)服務(wù)器接收時，對于重合的部分是選分片1的，還是選分片2的呢?我們知道，這個最終結(jié)果要根據(jù)目標(biāo)服務(wù)器的操作系統(tǒng)而定，不同操作系統(tǒng)，或者有些版本之間的處理方式是不同，歸結(jié)為TCP/IP協(xié)議棧的代碼編寫。有選分片1的，也有選分片2的，但告知發(fā)送方分片有錯誤，要求重傳的不多。

這樣就出現(xiàn)了一個問題：負(fù)責(zé)安全檢查的IPS采用的方式是前向的，還是后向的呢?目前大部分IPS廠商還不能確定其后邊的服務(wù)器采用什么樣的操作系統(tǒng)，無法自動匹配具體的應(yīng)用環(huán)境，要兩種方式都檢查的話，需要設(shè)立雙倍的緩沖區(qū)內(nèi)存，顯然是不劃算的。因此，大部分廠家都只選擇一種，比如是前向的，即分片重疊時，數(shù)據(jù)選擇前一個編號的數(shù)據(jù)為準(zhǔn)。