新型恶意软件浮出水面

　　一些研究人员指出，最近发现的一类恶意软件——高级躲避技术(AET)，这种恶意软件可以悄悄地从多数入侵防御系统的眼皮底下溜过去，并且向机器释放Sasser和Conficker等病毒，而且不会留下任何曾经侵入过机器的痕迹。

　　据芬兰国家CERT(计算机应急响应小组)称，许多国家的CERT已经向数十家IPS厂商发出了通知，向它们通报此类威胁的情况，使其能够针对AET采取防范措施。IPS厂商Stonesoft公司最先发现了此类威胁并将其报告给了该中心。

　　CERT-FI的信息安全顾问Jussi Eeronen说，CERT-FI在发布该通知的过程中得到了其它多个CERT的协助。他说，通报的目的是敦促厂商升级其装备，为预防并处理AET做好准备。

　　发现AET的IPS和其它安全设备厂商Stonesoft 指出，AET集合了多种已知的简单躲避技术，IPS虽能将其个个击破，但它们组合在一起后就会变成一种截然不同的怪兽，使IPS无法进行有效的防御。 Stonesoft公司高级解决方案设计师Mark Boltz说，AET本身并不会造成破坏，但它们让恶意软件具有了隐身能力，使之能够直达被攻击的系统。他表示，到目前为止，还没有证据表明AET已经得到了广泛的使用。

　　Boltz说，躲避技术在十多年前便已出现，而且多数入侵防御系统都能够对其实施有效的防御，但同时使用多种此类技术形成的组合却能够绕过现有的IPS。他表示，将现有已知的躲避技术进行排列组合后，可以得到2180种可能的AET。如果AET同时使用两种以上的躲避技术后，其可能的组合总数就会更大，而且还会有新的简单躲避技术不断被添加到这份清单中。

　　Boltz说，在Stonesoft的测试中，一系列AET被用于隐藏Conficker和Sasser蠕虫，而且它们被发送给Gartner最近评出的非常好的IPS系统进行测试。结果是，没有任何一种入侵防御系统能够发现这些AET。他表示，Stonesoft公司自己的StoneGate IPS可以监测到并阻止这些攻击。

　　Stonesoft公司宣称的成果已经得到ICSA实验室的验证，该实验室也允许Stonesoft公司使用自己的工具从芬兰通过一个VPN来运行攻击测试。ICSA网络IPS项目经理Jack Walsh说，攻击必须通过ICSA位于宾西法尼亚州的入侵防御系统后才算成功。Walsh说，该工具生成的AET成功地躲避了IPS的监测，使Conficker蠕虫抵达了未实施CVE-2008-4250漏洞补丁的Windows Server系统。之所以使用Conficker是因为它是一种众所周知的蠕虫，如果它没有隐身，目前的IPS应当很容易将它识别出来。

　　所有接受测试的入侵防御系统(IPS)，包括Stonesoft公司自己的某个IPS版本，都未能成功阻止所有的AET。Walsh说，Stonesoft宣称其最新版本可以监测到AET，但ICSA尚未对其进行过测试。

　　躲避技术新形态

　　Boltz表示，简单躲避技术有很多中，其中之一便是IP片段。攻击者会将含有恶意软件的包分为许多片段，寄希望于IPS不会将这些数据包重新组合，因此也就无法监测到其中的恶意软件并让它们安然通过。今天，多数入侵防御系统中包含的引擎可以重组被拆成片段的包并且对其加以筛选。

　　Boltz指出，URL混淆也是一种简单躲避技术，即对URL进行细微的修改，使该修改过的URL能够通过IPS，但并不至于修改到目标机器无法使用的程度。目前的许多IPS都已经能够应对此类躲避技术。

　　但是他说，如果将几种这些技术组合在一起，就可以很容易地绕过IPS。Stonesoft已经遇到了一些可以列入此类别的新型简单躲避技术。例如，通过使用自己设计的TCP/IP栈，Stonesoft公司的研究人员可以利用TCP时间加权状态来通知接收端的机器在多长的时间内打开TCP端口，准备迎接后续的通信。 通过连接至目标机器并立即关闭会话，该TCP/IP栈可以通过仍然打开的端口启动一个新的会话并利用它来发送恶意软件。由于IPS已经检查了初期连接的正常握手和状态信息，因此它会让后续的流量通过。他说：“这是人们为了让IPS运行速度更快而采取的一种捷径方法。”

　　Stonesoft公司一直将其AET工具当作公司的商业机密，不允许将其拷贝给CERT，甚至没有交给ICSA用于测试的目的。 Eeronen说，CERT-FI正在向受AET影响的有关厂商发出警报，希望它们能够采取措施加以防范。和其它此类通知一样，CERT-FI给厂商留出了一定的响应时间。他说，最终，即使所有厂商都没有升级其AET防御措施，CERT-FI也会向其发出正式咨询意见。他指出：“我们会与厂商沟通，让它们知道再拖延下去也不会有什么实际的好处。”

　　Stonesoft公司今天宣布的情况与CERT-FI的正式咨询意见并不完全一致，但他指出这是因为Stonesoft公司只是一家厂商，而非研究机构。他说：“这个问题有点特殊，而他们并不是拥有自身商业利益的商业实体。” 他希望这些厂商能够在年底前解决所有的问题。

　　Boltz说，依赖IPS的企业应与自己的IPS厂商进行沟通，确定其产品是否在AET面前存在漏洞。Walsh认为，总体而言，企业应确保其IPS软件已经升级至最新状态，并且了解产品的认证情况及这些认证的内容。例如，有些设备可能获得了ICSA的认证，但客户应弄清楚其认证时通过的是哪些类型的测试。