新型恶意软件浮出水面

　　一些研究人员指出，最近发现的一类恶意软件——高级躲避技术(AET)，这种恶意软件可以悄悄地从多数入侵防御系统的眼皮底下溜过去，并且向机器释放Sasser和Conficker等病毒，而且不会留下任何曾经侵入过机器的痕迹。

　　据芬兰国家CERT(计算机应急响应小组)称，许多国家的CERT已经向数十家IPS厂商发出了通知，向它们通报此类威胁的情况，使其能够针对AET采取防范措施。IPS厂商Stonesoft公司最先发现了此类威胁并将其报告给了该中心。

　　CERT-FI的信息安全顾问Jussi Eeronen说，CERT-FI在发布该通知的过程中得到了其它多个CERT的协助。他说，通报的目的是敦促厂商升级其装备，为预防并处理AET做好准备。

　　发现AET的IPS和其它安全设备厂商Stonesoft 指出，AET集合了多种已知的简单躲避技术，IPS虽能将其个个击破，但它们组合在一起后就会变成一种截然不同的怪兽，使IPS无法进行有效的防御。 Stonesoft公司高级解决方案设计师Mark Boltz说，AET本身并不会造成破坏，但它们让恶意软件具有了隐身能力，使之能够直达被攻击的系统。他表示，到目前为止，还没有证据表明AET已经得到了广泛的使用。

　　Boltz说，躲避技术在十多年前便已出现，而且多数入侵防御系统都能够对其实施有效的防御，但同时使用多种此类技术形成的组合却能够绕过现有的IPS。他表示，将现有已知的躲避技术进行排列组合后，可以得到2180种可能的AET。如果AET同时使用两种以上的躲避技术后，其可能的组合总数就会更大，而且还会有新的简单躲避技术不断被添加到这份清单中。

　　Boltz说，在Stonesoft的测试中，一系列AET被用于隐藏Conficker和Sasser蠕虫，而且它们被发送给Gartner最近评出的非常好的IPS系统进行测试。结果是，没有任何一种入侵防御系统能够发现这些AET。他表示，Stonesoft公司自己的StoneGate IPS可以监测到并阻止这些攻击。

　　Stonesoft公司宣称的成果已经得到ICSA实验室的验证，该实验室也允许Stonesoft公司使用自己的工具从芬兰通过一个VPN来运行攻击测试。ICSA网络IPS项目经理Jack Walsh说，攻击必须通过ICSA位于宾西法尼亚州的入侵防御系统后才算成功。Walsh说，该工具生成的AET成功地躲避了IPS的监测，使Conficker蠕虫抵达了未实施CVE-2008-4250漏洞补丁的Windows Server系统。之所以使用Conficker是因为它是一种众所周知的蠕虫，如果它没有隐身，目前的IPS应当很容易将它识别出来。

　　所有接受测试的入侵防御系统(IPS)，包括Stonesoft公司自己的某个IPS版本，都未能成功阻止所有的AET。Walsh说，Stonesoft宣称其最新版本可以监测到AET，但ICSA尚未对其进行过测试。