研究人員稱，最新發(fā)現(xiàn)的一類惡意軟件“高級躲避技術(shù)（AET）”能夠隱蔽地通過大多數(shù)入侵防御系統(tǒng)，向目標計算機注入Sasser和Conficker等著名的惡意代碼，并且不會留下進入系統(tǒng)的任何痕跡。

據(jù)芬蘭國家計算機應(yīng)急響應(yīng)組（CERT-FI）稱，一些國家的CERT已經(jīng)向幾十家入侵防御系統(tǒng)（IPS）廠商發(fā)出通告，告知廠商這種威脅的存在，以便廠商采取防御措施。入侵防御系統(tǒng)廠商Stonesoft發(fā)現(xiàn)了這種威脅并且向芬蘭國家CERT報告了這個情況。

CERT-FI信息安全顧問Jussi Eeronen說，其它國家的CERT已幫助傳播這個消息。目的是讓廠商升級設(shè)備以應(yīng)對“AET”。

入侵防御系統(tǒng)和其它安全設(shè)備廠商Stonesoft說，AET把一種以上的已知的簡單躲避技術(shù)結(jié)合在一起。入侵防御系統(tǒng)能夠分別檢測這些躲避技術(shù)，但是，把多種躲避技術(shù)結(jié)合在一起就使入侵防御系統(tǒng)很難發(fā)現(xiàn)。

Stonesoft高級解決方案設(shè)計師Mark Boltz說，AET本身不造成破壞。但是，這種技術(shù)能夠為惡意軟件提供隱蔽能力，使惡意軟件能夠到達目標系統(tǒng)。他說，到目前為止還沒有證據(jù)表明AET已經(jīng)在現(xiàn)實中應(yīng)用。

躲避技術(shù)的出現(xiàn)已經(jīng)有十幾年時間。大多數(shù)入侵防御系統(tǒng)廠商都能夠防御這種技術(shù)。Boltz說，但是，如果一次使用一種以上的躲避技術(shù)就能夠繞過當前的入侵防御系統(tǒng)。

Boltz說，把已知的躲避技術(shù)混合配對能夠產(chǎn)生2180種可能的AET。增加同時使用超過兩種技術(shù)的AET能夠使可能的種數(shù)更多，就像在已知列表中增加新的簡單躲避技術(shù)一樣。

Boltz說，在Stonesoft的測試中，一組AET被用來隱藏Conficker和Sasser蠕蟲。它們被發(fā)送給市場研究公司Gartner最近發(fā)表的入侵防御系統(tǒng)魔力象限報告中排名前十的行業(yè)領(lǐng)先入侵防御系統(tǒng)。這些入侵防御系統(tǒng)沒有一臺檢測除AET。

他說，Stonesoft自己的StoneGate入侵檢測系統(tǒng)能發(fā)現(xiàn)并攔截攻擊。

ICSA的網(wǎng)絡(luò)入侵防御系統(tǒng)項目經(jīng)理Jack Walsh說，Stonesoft有關(guān)AET的說法得到了ICSA實驗室的證實。實驗室允許Stonesoft使用其工具從芬蘭對一個虛擬專用網(wǎng)實施攻擊。攻擊必須穿越位于賓夕法尼亞的ICSA設(shè)施中的入侵防御系統(tǒng)。

Walsh說，這個工具生成的AET成功地避開了入侵防御系統(tǒng)并且使Conficker蠕蟲抵達了攻擊目標——帶有未修復(fù)的CVE-2008-4250安全漏洞的Windows服務(wù)器。使用Conficker蠕蟲是因為這種蠕蟲是已知的，如果這種蠕蟲不隱蔽起來，入侵防御系統(tǒng)現(xiàn)在應(yīng)該能夠識別它。

他說，所有進行測試的入侵防御系統(tǒng)都沒能攔截AET，其中包括Stonesoft自己的某一個版本的入侵防御系統(tǒng)。Stonesoft稱，它最新版本的入侵防御系統(tǒng)能夠檢測到AET。但是，ICSA沒有測試這種入侵防御系統(tǒng)。

Boltz說，IP碎片是簡單躲避技術(shù)的例子。攻擊者把包含惡意軟件的數(shù)據(jù)包破碎，希望入侵防御系統(tǒng)不能把這些數(shù)據(jù)包重新組合起來，從而漏掉這些數(shù)據(jù)包中的惡意軟件，使這些惡意軟件通過。目前，大多數(shù)入侵防御系統(tǒng)擁有重新組合和篩選碎片數(shù)據(jù)包的引擎。

URL模糊是簡單躲避技術(shù)的另一個例子。在這種技術(shù)中，把URL稍微進行一下修改以便通過入侵防御系統(tǒng)。但是不能改動過大，否則目標計算機就不能使用它。許多入侵防御系統(tǒng)目前都能夠處理這種情況。

但是，Boltz說，把簡單躲避技術(shù)結(jié)合起來使用，一些簡單躲避技術(shù)就能夠繞過入侵防御系統(tǒng)。Stonesoft還提出了一些能夠添加到這種組合中的新的簡單躲避方法。

Stonesoft對它的AET工具一直是保密的，不允許把這個工具復(fù)制給CERTS，甚至不愿意提供給ICSA進行測試。

Eeronen說，CERT-FI希望通過告知產(chǎn)品可能受到AET影響的廠商，讓這些廠商采取措施防御這些威脅。同以前的這種通知一樣，CERT-FI將給廠商一些時間以便對它的警告做出反應(yīng)。最后，即使所有的廠商都沒有升級到能夠應(yīng)對AET，CERT-FI也將發(fā)布有關(guān)AET的正式公告。

Eeronen說，Stonesoft今天對AET的披露與CERT-FI的正式公告是不同步的。但是，他說，這是因為Stonesoft是一家廠商，而不是一個研究者。他說，這個問題有點特別。他們是商業(yè)實體，有自己的商業(yè)利益。

Eeronen說，他希望廠商能夠在年底之前解決這個問題。

Boltz說，使用入侵防御系統(tǒng)的企業(yè)應(yīng)該咨詢自己的廠商，看他們是否容易受到AET的攻擊。Walsh說，總的來說，企業(yè)應(yīng)該不斷更新其入侵防御軟件并且要知道產(chǎn)品擁有什么認證以及這些認證的含義是什么。

【編輯推薦】

1. 惡意軟件攻勢中的企業(yè)防御
2. IBM升級入侵防御系統(tǒng)增加虛擬補丁技術(shù)