VAV-project

学习入侵躲避技术—理解AET

概念

• 入侵过程中躲避网络的安全检查
• 入侵成功后躲避主机的安全检查

躲避技术的分类

• 网络躲避技术
  • 单向躲避： 目标点没有接应，主机能正常理解。一般用于入侵过程中
  • 双向躲避： 目标点有接应，接应者负责理解，一般用于入侵成功后
• 主机躲避技术

常见网络躲避技术

• 字符变换：将传输的内容变成检查者不认识的“外文”，就容易蒙混过关
• 协议组合：由于IPS与目标主机解析协议的处理方式不同，就可以利用这一点躲避IPS的特征检查，同时又可以达到攻击的目的；
• 传输加密：目标不能解析的话就不能完成入侵过程，所以一般用于入侵成功后
• 重叠分片技术：在第一个分片之后添加随机的数据将分片二的病毒数据覆盖掉，这样IPS就无法检测到病毒数据。这要求IPS的协议向前检查，主机的协议向后检查。
• 多线程躲避技术：将数据分成多个线程传输，这样IPS就无法检测到数据的完整性。这要求IPS的协议向前检查，主机的协议向后检查。

APT攻击检测与反制技术体系的研究

APT的生命周期

侦察跟踪阶段>武器构建阶段>载荷投递阶段>漏洞利用阶段>安装植入阶段>命令与控制阶段

1、2阶段没有有效防御手段，意义也不大，3、4阶段攻击初步暴露，是防御的理想阶段，6阶段检测难度低，但是攻击和防御的代价大。防御方案集中在4、5、6阶段

• 4个难题：渗透防护脆弱；检测精度低；攻击取证困难；对新型攻击响应慢
• 3项技术：系统防渗透技术；动态变形攻击模型与检测技术；攻击溯源与反制技术

APT攻击检测与溯源反制技术路线

• 系统防渗透技术
  • 虚拟执行分析检测：这种检测技术是通过在虚拟环境中执行检测，基于运动行为是否发生判定攻击。
  • 异常流量检测：通过检测网络流量的异常行为，判断是否有攻击行为。
  • 基于流量和深度内容的检测：对全流量进行审计和对内容进行深度分析，并对异常行为进行识别。
  • 事件回溯和关联分析：发现可疑对象后，利用快速查找的方式对具有同样身份对象参与的事件进行回溯，查找是否存在其他可疑记录，并将这些可疑记录进行关联分析。
• 动态变化攻击模型与检测机制：建立模型用于未知类型的攻击检测以及可能的攻击路径预测。
• 攻击溯源与反制技术：防御检测方通过对攻击事件链条中各个环节的线索信息，最终可以定位到被攻击目标、攻击行为、攻击路径、攻击参与者甚至最终的攻击幕后发起者。

APT整体防御方案

1. 恶意代码检测类方案：集中在未知恶意代码的表象特征和未知行为特征的自适应技术方面。大部分的工程方案采取了攻击者思维建模的方法来进行加权及动态加权的方式来检测假定动作
2. 主机应用保护类方案：重点不在于分析对手，而将重点置于自身系统资产的保护方面。
3. 网络入侵检测方案：集中在防火墙策略、网络入侵检测策略集等技术类别。但随着近年来越来越多的APT攻击引入了密码学协议和多通道技术，网络层的攻击检测开始向控制通道、僵尸网络Command&Control协议及网络协议漏洞攻击等方面倾斜发展。
4. 大数据分析检测方案：利用了APT攻击周期长的弱点，在漫长的试探性攻击中存在较多被取证痕迹的可能。