高级逃逸技术是APT攻击的重要帮凶之一.pdfVIP

高级逃逸技术是APT攻击的 重要帮凶之一 翟胜军 北京启明星辰信息安全技术有限公司 APT攻击之所以可以肆虐流行，高级逃逸技术(AET)作为重要帮凶之一，其作用是 摘 要 ： 不容忽视的。本文从分析高级逃逸技术(AET)的原理与分类入手，通过大量的攻击躲避实例，总 结出AET技术具有可组合、多样性的特点，最后给出了等级保护中增加AET防护的具体建议。 AET 高级逃逸技术 高级隐遁技术 攻击躲避技术 APT 关键词 ： 1 引言 2010 年 10 月 18 日，芬兰的 Stonesoft 公司宣布 发现新型 AET 技术威胁，是以前各种逃逸技术的组 黑客入侵目标系统的必要条件一般有两个 ：一 合，开始引起安全界的关注 ；次年 3 月，Stonesoft 是目标系统确实有漏洞 ( 可乘之机 )，二是黑客拥 公司公布了 180 多种可以组合的高级逃逸技术，并 有利用这个漏洞的入侵攻击代码 ( 入侵工具 )。但 在 5 月提供了一套 AET 技术的测试工具软件给 NSS 当用户部署了 IDS/IPS/WAF 之类的安全防设备后， Labs，从此，对 AET 的防护能力成为下一代 IDS/ 再要实现实施入侵，发送的入侵攻击代码就可能被 IPS 的重要功能标志。 检测到，行动就会被中断 ；此时，攻击者的选择就 IBM X-Force 小组每年一度的信息安全攻击事 是，要么使用新的入侵攻击代码，要么设法绕开这 件的技术分析与归类中，从 2011 年下半年开始， 些安全检测，总之，找到穿越用户访问限制的方法， 未知型攻击明显增多，未知就是知道被攻击了，但 把攻击代码“运送”到目标的漏洞内，入侵攻击才 安 全 防 护 措 施 没 有 任 何 反 应， 或 许 有 AET 技 术 能完成 ；当然，即使是入侵成功以后，为了保持后 普 及 的 一 些 原 因 吧 ；Gartner 也 在 Defining Next- 续与“肉鸡”的联络（APT 攻击的必需工作），还 Generation Network Intrusion Prevention 一 文 中 明 确 要建立一条能够躲避用户安全检测的“安全通道”。 提出了利用先进的技术逃避网络安全设备的检查 各种攻击躲避技术的总称称为高级逃逸技术 AET 的 事 件 越 来 越 多 ；NSS Lab 最 新 的 IPS 测 试 标 准 （Advanced Evasion Technique），国内也翻译为高级 NSS_Labs_IPS group test methodology v6.2 ，把 layered 隐遁技术，或是攻击躲避技术。 evasion（也就是 AET）作为必需的测试项。 2013 年 9 月 | 增刊 | 121 第二十三届全国信息保密学术会议（IS2013）论文集 国内对 AET 技术的关注相对比较晚，从 2012 一是伪装为“合法”的通信，利用安全设备与目标 年开始，启明星辰、绿盟、科能腾达陆续发表文章， 对同一通信协议、同一字符集的“理解”不同，造 到目前为止，还没有出现专门的 AET 技术实验室。 成目标看到的与安全设备看到的传送内容是不一样 如果说黑客入侵攻击是针对目标系统的漏洞， 的，从而影响恶意代码特征的比对，这种方式是利 那么 AET 技术就是针对安全设备的漏洞。AET 技 用安全设备自身的协议解析漏洞而设计的 ；二是制 术可以说是黑客的攻击辅助工具，有了它的帮助，