最新网络安全威胁对金融体系的影响及应对方案北京科能腾达信息技术股份有限公司目录目录当前网络安全现状最新网络安全威胁解析高级逃避技术介绍及其危害CNGate反高级逃避技术介绍金融体系客户案例CNGate公司简介目录当前网络安全现状每天平均都有新的漏洞被发现当前网络安全现状--漏洞越来越多数据来源:国家信息安全漏洞共享平台当前网络安全现状--漏洞没有补丁或没有及时打补丁当前网络安全现状--排名前十的关键漏洞没有PATCH厂商•IBM漏洞分析小组的报告,很多系统其实是存在一些漏洞但是厂家短时间内没有任何解决方案0.0%5.0%10.0%15.0%20.0%25.0%IBM-X-Force-Vulnerability-Threats如何解决?安装补丁?•Yourcomputermayfreezeorrestarttoablackscreenthathasa0xc0000034errormessageafteryouinstallWindows7ServicePack1•2010.04用户更新某厂商的防病毒补丁后出现大量机器被锁住无法登陆现象,厂商紧急发布新的补丁。•2009.01Conflicker蠕虫病毒爆发受感染的服务器达到几百万台,因为许多公司的Windows服务器没有安装早在2008年10月发布的补丁•Administratorsdonotinstallpatches!BecauseImportantservercancrash!•Weneedupto30daystoinstallpatchesforour113Servers!!!!(USAirForce)各个厂商提供虚拟补丁VirtualpatchIPSjustrecognizeattackandclosemaliciousconnectionsforvulnerableservices目录最新网络安全威胁解析最新网络安全威胁是什么?DataLossDB.orgIncidentsOverTime来自于全球专业性数据泄漏事件分析网站:近几年数据泄露事件统计目录高级逃避技术介绍及测试什么是“逃避技术”?什么是“高级逃避技术”?“高级逃避技术”是如何实现的?为什么大多数安全产品无法检测并防护“高级逃避技术”?“高级逃避技术”的应对策略及防范建议“高级逃避技术”测试方法高级逃避技术介绍及测试什么是逃避技术?•一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段•利用逃避技术,高级黑客和怀有恶意的的网络犯罪分子可以对具有漏洞的系统进行悄无声息的攻击,破坏目标系统或者获取重要数据信息。•目前的安全系统对这些逃避技术束手无策,就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。16通常IDS/IPS工作模型会分为3个层次•信息资源层(InformationSource)•分析层(Analysis)•响应层(Response)逃避技术的发现1990年逃避攻击技术出现1997-1998年才出现了有真正文字记载的逃避攻击技术,这种技术可以避开网络入侵检测系统的检测参考:Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection--January,1998逃避技术是一种通过伪装和/或修改网络攻击以逃避信息安全系统的检测和阻止的手段。逃避技术最大的危害是可以携带恶意攻击软件和病毒避开信息安全系统的检测进入到信息系统内部。但是安全系统不会存在任何拦截和告警信息。1997-2001简单的单个逃避技术2004-2009简单组合的逃避技术2010-现在跨越TCP/IP多个层次,可以实现动态组合的高级逃避技术逃避技术的发展历程字符串混淆(Obfuscation)碎片(Fragmentation)协议违规(Protocolviolations)通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段;利用协议中不常用的属性,伪装攻击流量躲避安全系统检测。逃避手段逃避技术•混淆攻击有效载荷-Obfuscatingattackpayload通过不同编码编译攻击的有效载荷,目标系统能够解码但是IPS/IDS无法解码这些编译过的有效载荷,例如:使用Unicode来编译攻击包,但是IDS/IPS无法识别,可是IISWEBSERVER可以解码,遭受攻击字符串混淆MSRPCBig-endianencoding23OverlappingFragments数据包分段重叠技术是通过修改数据包的TCP序列号来实现重叠,例如第一个数据包90个字节,第二个数据包序列号是从第80个字节开始的,当目标系统重组TCP流的时候就需要决定如何去处理8个字节重叠。这就需要IPS/IDS能够处理重叠部分的数据包.24TCPTimeWait打开然后关闭TCP连接,再使用同一协议和端口打开一个新的TCP连接.根据TCPRFC标准,TCPclient重新使用同一端口之前必须等待一段时间如果黑客使用自己的TCP/IP协议集,他可以打开然后关闭TCP连接,然后使用同一个端口快速建立一个新的TCP连接,新的连接会被传统的IPS/IDS放行,这就要求IPS需要能够熟练控制新的连接举例:参考数据包截图Frame3—Frame5TCP连接建立,使用29522端口连接445端口Frame6–Frame7发送一些自由的字节信息Frame8-Frame10TCP连接关闭,此时目标系统端口进入TIMEWait状态,Frame11-Frame13新的TCP连接使用相同的29522端口连接目标系统,攻击继续执行,有可能不被检测到2526InsertingTrafficattheIDS通过一些手段使IDS/IPS可以看到一些数据包,但是目标系统确没有收到数据包,例如可以修改数据包的TTL,使一部分数据包到达IDS/IPS时候丢弃。从而导致IDS/IPS和目标系统的状态不一致,我们称之为状态同步破坏TCPUrgentPointer利用目标系统和IPS/IDS对于TCPUrgentPointer不同的理解。目标系统可以忽略添加的TCPUrgentPointer字节,但是却可以混淆IPS/IDS的检测例如:TCPStream:\xffPSMB(P是urgentdata)IPS看到的结果:\xffPSMB(不是协议SMB)Windows看到的结果:\xffSMB(但是windows忽略urg位)协议中不常用属性的使用例如:TCPUrgentPointer分片逃避技术数据包分片是正常的网络行为,将恶意的数据包分割成多个分片的数据包进行传递就可以欺骗IPS检测,这就需要IPS能够重组数据包检测出恶意攻击包,如果分片加入重叠技术将使重组过程更加复杂,正常的HTTPREQUEST在会话建立后只是在一个数据包传递逃避技术举例:HTTPRequest3部分8字节的分段数据包7字节的分段数据包攻击同时也包括1个字节的重叠部分,每一个分段的最后一个字节也是下一个分段第一个字节,由于每一个数据包的序列号是正确的,因此目标系统可以正确的重组数据包,从而会遭到攻击存在4字节的自由字符在数据包头前,这些无效的字符通常会被目标系统丢掉,但是却可以混淆IDS/IPS。•普通的逃避在TCP/IP的不同协议栈同时进行加载组合形成了高级逃避.•可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.高级逃避技术的出现EthernetVLANTagsIPv6IPv4SMB2SMBTCPUDPMSRPCHTTPNetBIOSApplicationMSRPCApplication高级逃避技术举例逃避技术对各厂商设备检测技术的影响•HPTippingPointIPS•PaloAltoNetworksFirewall•FortinetFortiGate•Snort(in-linemodeusingSecurityOnion)恶意攻击选择为了能正确的测试逃避技术对不同厂商检测技术的影响,所选择的攻击要能够被所有厂商能够检测到并且可以进行阻断,我们选择是2008年的Conficker蠕虫病毒攻击针对Windows以下弱点CVE-2008-4250MS08-067HPTippingPointIPS应用简单分片逃避技术总共858bytes简单分成2个分片432bytes和426bytes应用2种组合的逃避技术—分片+混淆Wireshark显示攻击成功逃避技术-封装序列号码TCPsequencenumberisa32-bitnumber最大值为4,294,967,295(0XFFFFFFFF)47CISCOASA4849Decoytrees5051SMBfragmenting5253545556Snort57IPC$share不是恶意的内容,是用在Windows远程服务,因此不需要设定阻断策略以下三个策略是标识数据包中的shellcode,利用MS08-067弱点来进行攻击,需要进行阻断58596061asinglebyteof0X00isaddedasthe‘urgent’data.高级逃避技术•工作在TCP/IP不同层次的逃避技术是可以同时加载的。•利用协议中不常用的属性或者是不遵守协议规范,伪装攻击流量躲避安全系统检测。•黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分。PAIPS:TCPSegment:Segmentsize:20TCPSegmentOverlap:Overlapamount:1CISCOIPS:TCPSegment:Segmentsize:1从这些研究测试得出的结论:•不要期望您的安全设备是坚不可摧的•不要依赖安全设备的默认策略配置,要充分了解自己的业务系统,订制针对性的策略•要使用反逃避的解决方案高级逃避攻击技术的危害金融系统对外业务系统失去保护。金融系统用户数据存在严重的泄露风险。“我们是安全的”这种错觉让金融体系很容易受到攻击。大多数(99%)现有安全设备对高级逃避攻击不能够拦截和告警在高级逃避技术下,系统和数据随时都处于危险状态,而用户却不得而知。1)品牌信任•用户数据•借贷信息•行业信誉2)合规遵从性•敏感信息•关键网络架构3)业务连续性•电子银行•交易平台•支付平台反高级逃避对于金融体系用户安全防护的重要意义高级逃避技术都可以破坏它们!目录CNGate反高级逃避技术介绍为什么99%的安全厂商下一代防火墙下一代入侵防御系统WEB防火墙等产品无法检测并防护AET?传统方式采用垂直检测数据流-基于数据包,数据分段的检测一大部分的逃避技术仅仅基于协议的正常功能,而且这些功能在正常的通信中被广泛的使用着。IPfragmentationTCPsegmentationMSRPCfragmentationIPrandomoptionsTCPTIME_WAITTCPurgentpointer一般的,这些逃避不会和任何RFC冲突,这是为什么协议检查也无法发现这些逃避技术。SMBfragmentationMSRPCaltercontext使用静态特征库进行防护的?列出了多余45,000CVE标识……-IPS一般覆盖了–3000–4000fingerprints…..-大多数IPS产品默认仅有1000signatures被检查…..(考虑性能原因)-如果只有1%的高级逃避技术被利用-这个数字将是多于100万种!测试工具受限•目前有一些工具,集成了一些逃避的技术•但是,这些工具是基于不同的漏洞风险的,并不是基于不同的逃避技术的•所以,就无法深入的研究高级逃避技术,及无法提供验证防护效率的工具。高级逃避技术隐藏的攻击可以逃避IPS/IDS的检测–JackWalsh,ProgramManager如果你的网络系统不能够发现拦截高级逃避,你将面临巨大损失–RickMoy,President进来的研究发现AE