Lucha contra las técnicas avanzadas de evasión con Network Security Platform
Artículos técnicos ID:
KB92003
Última modificación: 2021-04-23 02:23:26 Etc/GMT
Última modificación: 2021-04-23 02:23:26 Etc/GMT
Entorno
McAfee Network Security Platform (NSP)
Resumen
Eludi
Se sabe que los protocolos de Internet son complicados y permiten varias interpretaciones durante la implementación. Los atacantes utilizan combinaciones inusuales y varias herramientas de evasión como Funcionamiento de AETs diferentes:
Cada AET utiliza funciones inherentes de un protocolo para pasar por el sistema de seguridad de red sin detectarlo. En este documento, comparamos los efectos de un sistema tradicional de prevención de intrusiones (IPS) en comparación con el de la plataforma de seguridad de la red. Para exhibir estos efectos, consideramos el siguiente AETs:
- Fragmentación SMB o MSRPC
- Relleno de SMB
- Fraude de nivel de aplicación mediante la ocultación de documentos
- Ocultación de JavaScript
- Contenido codificado HTTP UTF-8
- Evasión de HTTP (codificación URL)
- Puntero de urgencia TCP
- Protocolo de enlace dividido de TCP
- Fragmentación de IP
- Fragmentación de IP con chaff
Llamada a procedimiento remoto (RPC) es un marco de comunicación entre procesos. Permite a un programa informático provocar que se ejecute una subrutina o un procedimiento en otro espacio de direcciones (normalmente en otro equipo de una red compartida). De hecho, se encarga de muchas de las funciones de red de bajo nivel y permite al programador centrarse en los métodos y procedimientos que desean implementar.
Microsoft Windows (Windows) se suministra tanto en variantes de servidor como de escritorio. Todas las variantes de Windows se suministran con implementaciones de numerosos servicios de red. El servicio de servidor es uno de los servicios que admiten el uso compartido de archivos, impresoras y canalizaciones con nombre en la red para los equipos basados en Windows. La comunicación con nombre de canalización se utiliza para RPC porque admite la comunicación entre aplicaciones que se ejecutan en sistemas distribuidos.
Existe una vulnerabilidad de desbordamiento del búfer en la Servicio servidor al procesar solicitudes RPC. Los atacantes remotos no autenticados pueden exploit esta vulnerabilidad enviando mensajes diseñados especialmente a la interfaz afectada. Un aprovechamiento acertado puede acarrear la ejecución de código arbitrario con derechos de nivel del sistema.
Bloque de mensajes del servidor (SMB) es un protocolo utilizado por Windows para localizar y acceder a recursos como recursos compartidos, impresoras o equipos. SMB tiene características que un atacante puede utilizar para ocultar tráfico malicioso a exploit vulnerabilidades basadas en SMB y MSRPC. Además, SMB actúa como transporte para Llamada a procedimiento remoto de Microsoft (MSRPC).
El mecanismo RPC permite que una aplicación invoque procedimientos remotos de forma ininterrumpida, como si estos procedimientos se ejecutaran de forma local.
Existen dos implementaciones principales del mecanismo RPC:
- Abrir RPC de Network Computing (ONC)
- RPC de entorno de computaciones distribuidas (DCE)
MSRPC utiliza uno o varios de los siguientes protocolos de transporte:
- TCP
- UDP
- HTTP
- SMB
Fragmentación SMB o MSRPC:
Una vez que se completa correctamente un protocolo de enlace SMB, se realiza una solicitud de MSRPC. Una solicitud MSRPC se utiliza con frecuencia en el back-end de Windows. Considere un ejemplo cuando intenta acceder al correo electrónico mediante Microsoft Outlook. Después de proporcionar las credenciales, Outlook se comunica con Exchange Server para descargar estos mensajes de correo electrónico. Durante este procedimiento, se realizan varias solicitudes MSRPC en el servidor de Exchange. O bien, considere otro ejemplo en el que desea utilizar una impresora de red para imprimir un documento. Cuando se emite un comando de impresión, el cliente realiza solicitudes de MSRPC al servidor de la impresora.
Se puede producir un ataque durante un protocolo de enlace de SMB o durante una solicitud de MSRPC. Al igual que la carga útil se puede fragmentar en TCP e IP, se puede fragmentar en SMB y MSRPC. A continuación, la carga útil se puede propagar por varios fragmentos. No obstante, a diferencia de los fragmentos de TCP e IP, SMB y MSRPC no se pueden enviar de forma desordenada. Un IPS tradicional, que no admite dicha detección, analiza el comportamiento de finalización del Protocolo de enlace y la solicitud, pero no observa más en estos procesos. IPS valida el protocolo de enlace SMB y la solicitud de MSRPC. Después, el IPS detecta el ataque haciendo coincidir la cadena con la firma de ataque disponible en su conjunto de firmas. No obstante, un IPS tradicional no puede volver a ensamblar SMB y fragmentos de MSRPC. El IPS no reconoce el ataque porque las partes del ataque se propagan en varios fragmentos.
La siguiente ilustración muestra SMB fragmentación.
Por ejemplo, si un atacante desea enviar algunos malware que contengan los caracteres B, Un y D puede que le interese enviarlo como ES. Sin embargo, si el IPS contiene esta firma de ataque, detectará y bloqueará el ataque.
No obstante, supongamos que el tamaño de MTU de la ruta permite 3 bytes a la vez. Podrían simplemente fragmentar el tráfico y pasarlo a 1 byte o 2 bytes de una vez al destino. Podrían plantearse enviarlo como B y, después, AD, o bien BSE y, después, D, o bien B, Un, y D. En cualquier caso, el tráfico se envía a través de varios fragmentos como se representa en la ilustración anterior. Un dispositivo de seguridad de red que no puede reensamblar esos datos antes del análisis permite que pase el tráfico malicioso. Esta restricción pone en peligro la red.
La fragmentación de MSRPC funciona de forma muy similar a la excepción de que la fragmentación se lleva a cabo en los datagramas de MSRPC. La siguiente ilustración muestra la fragmentación de MSRPC.
Detección en red de Network Security Platform para SMB o fragmentación de MSRPC
Network Security Platform vuelve a ensamblar los fragmentos de SMB o MSRPC antes de que comience el proceso de detección y puede detectar un ataque.
Relleno de SMB
Para mantener la carga útil SMB alineada con un tamaño de memoria específico, SMB admite la adición de paneles en sus segmentos. La almohadilla se inserta entre el encabezado de SMB y el inicio de la carga útil real.
El encabezado de SMB tiene un campo de puntero de datos que muestra el inicio de la carga real cuando hay un pad. Todos los datos tras el encabezado de SMB, hasta que se descartan los bytes de la punta.
Windows descarta los paneles presentes y continúa directamente con la carga útil. No obstante, un IPS tradicional que no puede descartar estos controladores los extrae con la carga durante la detección y, en última instancia, permite que pase el tráfico.
Atacante que desea enviar malware que contengan caracteres B, Un, y D en su cadena pueden rellenar estos caracteres para eludir la detección. Cuando esta cadena pasa por el IPS, se extrae para su detección como
Protección de Network Security Platform para el relleno de SMB
Network Security Platform puede detectar la presencia de pastillas y omitir esos bytes antes de que la carga útil se extraiga para su detección.
Fraude de nivel de aplicación mediante la ocultación de documentos:
La ocultación de documentos se ha convertido en un método común para que los creadores de malware distribuyan malware e infecten las redes. Los documentos como Word, Excel y PDF son los archivos más utilizados. Sin embargo, dada la flexibilidad de los PDF para que se representen con facilidad, la ocultación de PDF ha obtenido una popularidad considerable en los últimos años.
Los archivos PDF maliciosos son algunas de las amenazas más comunes que se utilizan para infectar a los usuarios con malware. Network Security Platform se centra en gran parte de su atención en la correcta detección de estos archivos. Por el contrario, los creadores de archivos maliciosos se centran en gran medida en eludir esas técnicas de detección.
La detección de documentos maliciosos es complicada por los siguientes motivos:
- Los bloques de creación básicos del documento, como los de los archivos PDF, son complejos y tienen varias formas.
- Las transmisiones en documentos que muestran texto o imágenes se pueden comprimir y almacenar de muchas formas.
- La mayoría de los formatos de documento admiten scripts en cierto grado. Por ejemplo, JavaScript en PDF pueden ocultarse con mucha confusión, lo que oculta el código real.
- Los documentos admiten la incrustación de otros documentos. Por ejemplo, un archivo ejecutable malicioso se puede incrustar en un archivo PDF no malicioso. A continuación, este archivo se puede incrustar en otro documento.
Ocultación de PDF se puede llevar a cabo mediante varios enfoques:
- Los campos de nombre, que son los bloques de creación básicos de los PDF, pueden contener objetos que están codificados en hexadecimal. Un IPS tradicional busca caracteres ASCII al analizar los campos de nombre.
- Los campos de cadena de los objetos se pueden dividir en varias líneas. Cuando los campos de cadena se dividen, no se reconocen para un IPS tradicional.
- JavaScript se pueden codificar mediante varios filtros, como
ascii85 ,asciihex ,lzw , la codificación de longitud de ejecución y el DEFLATE.
Estos filtros se pueden aplicar en el JavaScript varias veces. El uso de cualquiera de estos filtros comprime los datos. Los datos comprimidos no se pueden reconocer en un IPS tradicional, a menos que el IPS pueda descomprimirlos. - Los JavaScript maliciosos se pueden ocultar dentro de los campos de XFA o anotaciones.
- Los nombres de filtro de los objetos se pueden abreviar.
Por ejemplo,AsciiHexDecode se convierte enAhx .
Si un IPS no puede detectar tales anomalías, un PDF malicioso se pospone a la red. Entre los ataques de PDF más comunes, los atacantes prefieren utilizar alguna forma de JavaScript incrustados.
Por ejemplo, suplantaciones de cadenas, excepciones de tipo try-catch,
Detección de Network Security Platform para la ocultación de PDF:
El NSP se ha diseñado para detectar PDF maliciosos incluso cuando se utilizan los métodos de ocultación mencionados anteriormente. Se utilizan descodificadores para JavaScript técnicas de codificación/compresión que se utilizan con frecuencia. NSP puede localizar JavaScript ocultos en ubicaciones como XFA o anotaciones.
La detección de Network Security Platform para JavaScript en la ocultación de PDF:
Si la vulnerabilidad que se aprovecha no está presente en el motor de JavaScript de Acrobat, JavaScript seguirá desempeñando una función en la creación de un PDF malicioso. La extracción y el análisis de JavaScript incrustados son importantes para detectar amenazas basadas en PDF.
Ocultación de JavaScript
Considere un ejemplo en el que una simple Hola mundo el programa de JavaScript tiene el aspecto siguiente. NOTA: Las direcciones IP tradicionales ven la cadena Hello World como alerta (Hello World).
La versión de ofuscación equivalente en JavaScript tiene el aspecto siguiente.
Las direcciones IP tradicionales no detectan Hola mundo en este programa confuso.var _1204; var _2288 = ' 120B105E146A1044F1099C1064F1129A1139C759C729A919D1064F1099D1099E1114C719E994B1114F1129F1099D1059A729D764A854A '; var _1804 =/[\x41\x42\x43\x44\x45\x46]/; var _8663 = 2; var _5586 = _2288. charAt (_2288. longitud-1); var _5657; var _2069 = _2288. Split (_1804); var _9062 = [String. fromCharCode, isNaN, parseInt, string]; _2069 [1] = _9062 [_8663 + 1] (_9062 [_8663] (_2069 [1])/21); var _6574 = (_8663 = = 8)? String: eval; _5657 = ' '; _11 = _9062 [_8663] (_2069 [0])/_9062 [_8663] (_2069 [1]); para (_1204 = 3; _1204<_11;_1204++) _5657 + = (_9062 [_8663-2] ((_9062 [_8663] (_2069 [_1204]) + _9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])/_9062 [_8663] (_2069 [1])-_9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])-1); var _2799 = ' _5900 '; var _5430 = ' _2799 = _5657 '; function _1039 (_6946) {_6574 (_7060); _1039 (_7196); _7196 (_5430); _1039 (_2799);} vardecimal _7060 = ' _1039 = _6574 '; var _7196 = ' _7196 = _1039 '; _1039 (_5586);
Protección de Network Security Platform para la ocultación JavaScript
El NSP no realiza una coincidencia de cadenas aquí. En su lugar, ejecuta el JavaScript dentro de un JavaScript máquina virtual y el comportamiento en tiempo de ejecución de perfiles para determinar si es malicioso o no.
NSP puede detectar malware a pesar de la ocultación de JavaScript y omitir la JavaScript si no es maliciosa. Además, no activa automáticamente una alerta para la ocultación JavaScript si el tráfico no es malicioso.
Contenido codificado HTTP UTF-8
Cualquier navegador debe saber qué juego de caracteres utilizar para descodificar una página y representarla correctamente. Para admitir varios idiomas, se utilizan varios formatos de codificación de caracteres.
En una secuencia de ataque típica al aprovechar tales fraudes, el atacante codifica el contenido de la página HTML mediante UTF-8. En esta combinación, el carácter Un, por ejemplo, se puede representar como 41 o como c1a1. Un IPS tradicional busca el personaje Un y se olvida si se ha codificado.
Protección de red en Network Security Platform para evasión HTTP UTF-8
NSP está diseñado para mirar la tipo de contenido campo del encabezado HTTP. Este campo contiene información sobre la naturaleza de los datos del cuerpo de la Página Web. El subcampo charset del encabezado indica qué juego de caracteres se utiliza para codificar la Página Web. Este subcampo proporciona a NSP la información necesaria para descodificar la página. NSP analiza estos campos e invoca el descodificador de caracteres adecuado en función de la
Evasión de HTTP (codificación URL)
Cada URL, cuando se envía a un servidor Web, muestra las páginas que se obtienen de ese servidor de WebServer mediante una solicitud HTTP GET. Cuando se escribe una URL en la barra de direcciones, el navegador solicita las páginas web adecuadas para que se muestren.
Un atacante intenta ejecutar acciones en el servidor de webserver. Entre estas acciones se incluyen la visualización de información de directorios específicos o la ejecución de determinados comandos. Para eludir los dispositivos de seguridad de red, un atacante puede codificar o ofuscar las URL. El comportamiento predeterminado de un servidor HTTP de destinatario es normalizar esas URL. Un IPS tradicional no puede emular el comportamiento de un servidor de webserver. El IPS no puede normalizar las URL antes de la detección y permite que estos ataques penetren en las defensas de la red. La evasión de HTTP se muestra en los siguientes ejemplos.
Evasión de HTTP | Cadena original | Cuando está codificado, se convierte en |
Codificación hexadecimal de URL HTTP | ||
Codificación UTF de URL HTTP | %u0068%u0074%u006d%u006c |
|
URL HTTP con rutas de acceso a sí mismas | ||
URL HTTP con directorios falsos en la ruta | ||
URL HTTP con varios espacios y fichas | ||
URL absoluta de HTTP |
En los anteriores ejemplos anteriores, un servidor de WebServer normaliza una URL codificada o confusa y la analiza como la URL original. La excepción es el último ejemplo. Un IPS tradicional no puede emular este comportamiento y, como resultado, no puede hacer coincidir la cadena con ninguna de las firmas de ataque.
Fraude de HTTP de método alternativo:
HTTP admite verbos diferentes, tales como GET, POST, PUT y HEAD, para acciones tales como la obtención de una página, el envío de datos o la solicitud de un encabezado de servidor HTTP. Algunas vulnerabilidades basadas en URL podrían tener un desencadenador de vulnerabilidades en la URL. Cualquiera de estos verbos se puede utilizar con la dirección URL maliciosa para enviar una solicitud al servidor de WebServer para que active la vulnerabilidad.
Por ejemplo, si una URL de más de 128 bytes activa un desbordamiento del búfer en un servidor webserver, un atacante puede enviar una de las siguientes solicitudes para establecer la vulnerabilidad en un ataque.
GET /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 POST /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 PUT /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0
Detección de red en Network Security Platform para el fraude de HTTP mediante la codificación de URL
Network Security Platform puede normalizar las URL codificadas o confusas antes de la detección. Durante la detección, estas URL coinciden con cadenas de URL maliciosas presentes en las firmas de ataque y bloquean el ataque.
Como administrador, puede programar su IPS para que detecte solicitudes como POST y PUT, y que se centren solo en la URL.
Puntero de urgencia TCP
Los datos urgentes indican los datos que se deben procesar lo antes posible. Estos datos se procesan, incluso antes de los datos "normales" que puedan estar en espera. La presencia de datos urgentes se indica mediante la configuración de la marca urgente. Si la marca urgente está configurada, indica que el puntero urgente es válido y que apunta a esos datos.
Es posible que los datos urgentes también se vean como datos fuera de banda y el puntero urgente se refiera al último byte de dichos datos. Los protocolos como SMB y HTTP ignoran estos datos. Un IPS tradicional no ignora estos datos. Estos datos se convierten en parte de la carga de reensamblado utilizada para la detección. Esta decisión puede provocar que malware para eludir la detección.
En un ejemplo similar a ES (véase SMB o sección de fragmentación de MSRPC). La cadena ES se pueden dividir en tres segmentos, cada uno de los cuales comienza con un byte de datos urgentes. 1. Si no se ignoran estos datos urgentes, la carga reensamblada aparece como
Protección del puntero de urgencia de red de Network Security Platform para TCP
En el momento del reensamblado de la transmisión TCP, Network Security Platform ignora los datos urgentes para SMB y otros protocolos que se sabe que lo ignoran.
Protocolo de enlace dividido de TCP
El TCP Protocolo de enlace de tres vías en el protocolo de control de transmisión se utiliza TCP para configurar una conexión TCP/IP a través de una red basada en protocolos de Internet. La técnica de protocolo de enlace de tres vías de TCP a menudo se conoce como
NOTA: En el contexto de este documento, estamos pensando en un cliente y un servidor HTTP.
El mecanismo de protocolo de enlace de TCP está diseñado para que dos equipos que intenten comunicarse puedan negociar los parámetros de la conexión de socket TCP de la red. Los equipos pueden negociar esta conexión antes de transmitir datos, tales como las solicitudes de navegador web de SSH y HTTP.
Además de este protocolo de enlace aceptado formalmente, existe también otro método para establecer una conexión TCP/IP entre un cliente y un servidor. Este método es legítimo, pero rara vez se ha adoptado y se conoce como Protocolo de enlace abierto de forma simultánea.
Con esta conexión, tanto un cliente como un servidor envían un paquete SYN al mismo tiempo aproximadamente. A continuación, ambas partes envían paquetes ACK entre sí en respuesta. Esta variante no convencional del Protocolo de enlace TCP no se practica mucho en el mundo real. La RFC acepta esta variación como forma legítima de iniciar una conexión TCP. Al realizar una Evasión del Protocolo de enlace de separación de TCP, el atacante utiliza el concepto de un protocolo de enlace abierto de forma simultánea. El atacante es el servidor que busca obtener acceso a una red.
Propiedades de imagen
Esencialmente, un cliente envía un paquete SYN a un servidor, lo que tiene la intención de completar un protocolo de enlace de tres vías normal. No obstante, en lugar de rellenar el protocolo de enlace de tres vías del cliente, un servidor malicioso se inicia respondiendo como si estuviera realizando una conexión simultánea abierta. A continuación, el servidor inicia su propio protocolo de enlace de tres vías en la otra dirección (de servidor a cliente). Un IPS tradicional se confunde en el análisis de este comportamiento como el inicio de un nuevo protocolo de enlace de tres vías. Por lo tanto, el atacante puede obtener control sobre el cliente.
Protección contra la plataforma de seguridad en la red para la evasión del protocolo TCP Split
Aparte del Protocolo de enlace TCP normal, las latas de plataforma de seguridad de red detectan un protocolo de enlace dividido y cualquier ataque que ocurra a través de dicha conexión.
Fragmentación de IP
El tamaño de MTU de un vínculo determina si es necesario fragmentar un datagrama en unidades más pequeñas o no. Si la MTU permitida por el vínculo es inferior al tamaño del datagrama original, la IP utiliza fragmentación para que los paquetes se formen para atravesar el vínculo. Un atacante puede fragmentar un paquete IP de forma deliberada para que el paquete IP se distribuya en varios fragmentos.
Un atacante puede exploit esta función para eludir un dispositivo de seguridad de red. Pueden utilizar una herramienta de evasión para fragmentar los paquetes de ataque originales. A continuación, pueden utilizar una de las siguientes técnicas para enviar fragmentos:
- Todos los fragmentos se envían en:
- Orden correcto (aumento de valores para el desplazamiento de FRAG)
- Orden inverso (valores decrecientes del desplazamiento de FRAG)
- El orden correcto, excepto el primer fragmento enviado en último lugar
- El orden correcto, excepto el último fragmento que se envía primero
- Los fragmentos se ordenan aleatoriamente y se envían de forma no ordenada
Supongamos que malware contiene un ataque en su datagrama IP. Se fragmenta como se muestra arriba. Un IPS tradicional no puede reensamblar fragmentos para detectar el ataque. Examina el tráfico como un marco distinto y permite que un ataque se desenvíe.
Protección de red de Network Security Platform para evasión de fragmentación de IP
Network Security Platform puede reensamblar la cadena maliciosa y detectar el ataque.
Fragmentación de IP con chaff
Al igual que en la fragmentación de IP, un atacante utiliza una herramienta de evasión para fragmentar el datagrama IP original que contiene paquetes de ataque. Después de fragmentar el paquete, el atacante intercala los paquetes de chaff con los fragmentos.
Un paquete de chaff es un paquete no válido, la pila de destino se ignora en función de ciertas comprobaciones mencionadas a continuación. El chaff puede contener cualquiera de las siguientes anomalías, ya que se ignora.
- Suma de comprobación incorrecta, por lo que la pila de destino la interrumpe.
- Un TTL reducido a causa de su caducidad antes de alcanzar el objetivo.
- Un campo de opciones no válido debido a que es descartada por la pila de destino.
Network Security Platform detección para la fragmentación de IP con fraude de chaff
En el momento del reensamble, todos los campos de encabezado de IP se examinan para contener contenido válido antes de que se utilice la carga útil para la detección. Si se sospecha que un paquete es chaff, se descarta y se ignora la carga no válida transportada.
Comprobación de la eficacia de la plataforma de seguridad de la red contra técnicas de evasión avanzadas
Puede utilizar una herramienta avanzada de prueba de la técnica de evasión para comprobar la eficacia de McAfee Network Security Platform con respecto a las técnicas de evasión avanzadas. En este artículo, mostramos esta prueba mediante McAfee (Stonesoft) Evader.
IMPORTANTE: El entorno de prueba utilizado para esta prueba es similar al utilizado durante las pruebas de NSS. McAfee Network Security Platform alcanzado el 100% de la detección durante las pruebas de NSS Labs.
Debe utilizar las siguientes versiones de software y conjunto de firmas:
- Sensor:
- Serie M: 8.1.3.52 o posterior
- NS-Series: 8.1.5.59 o posterior
- Manager: 8.1.7.5 o posterior
- Conjunto de firmas: 8.7.46.3 o posterior
- Evader: 2013_4_594 o posterior
Debe configurar su Sensor para utilizar la Directiva todo-inclusivo con auditoría o un clon de esta Directiva. Para optimizar el número de alertas, recibe y minimiza el número de alertas de gravedad baja:
- Inicie sesión en su Manager.
Pulsar Directivas,, IntrusionPrevention, Directivas de IPS.
- Seleccione la opción Todo-inclusivo-con Directiva de auditoría o un clon sin modificar y haga clic en Ver/editar.
- En la ventana edición de directivas que aparece, haga clic en la opción Gravedad encabezado de columna para ordenar por gravedad.
- Comenzando en la parte superior de la lista, utilice la tecla Mayús y la tecla flecha abajo para seleccione todos los ataques categorizados 1 (Info) y 1 (Bajo).
- Haga clic con el botón derecho en la lista y seleccione Desactivar. Todos los ataques seleccionados deben desactivar el símbolo X.
- Ahora busque los ataques que se indican a continuación y activar solo esos ataques:
0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00010300 – TCP: Small Window Packets Detected 0x40011400 – TCP: Illegal Packet Missing SYN, ACK, or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
- Haga clic en No para completar la configuración.
Para obtener detalles sobre la activación de esta Directiva, consulte la guía de administración de NSP IPS correspondiente a su versión de.
NOTA: Es posible que observe una diferencia menor en los resultados cuando se ejecuta durante un período prolongado. Esta diferencia se debe a que la herramienta Evader puede generar ataques mediante conjuntos aleatorios de técnicas de evasión.
McAfee sugiere que utilice esta herramienta para comparar el rendimiento relativo de varios productos y ejecutar la prueba varias veces para cada producto. Esta comparación proporciona una comprensión de la capacidad de cada producto probada, para detectar y bloquear ataques enmascarados con estas técnicas.
- Utilice la guía del usuario de McAfee (Stonesoft) para instalar y configurar el entorno de prueba de Evader.
- Tras el despliegue de Network Security Platform, compruebe que ha realizado la siguiente configuración en el Manager antes de utilizar Evader:
- Haga clic en DirectivasAvanzado Configuración de TCP. Definición Infracción de flujo TCP Para DENEGAR.
La configuración de esta opción garantiza que se interrumpan las infracciones de flujos TCP.
- Haga clic en DirectivasAvanzado Configuración de TCP.
Definición Acción de caída del arranque en frío para eliminar.
- Haga clic en Interfaces IPS,
, Protección Amortiza, Inspección avanzada del tráfico,
FacilitarInspect MS RPC/SMB fragments for malicious payload .
- Al ejecutar el
conficker prueba, vaya a la Manager y configure la acción de respuesta como #c9. Establecer unTCP RST respuesta de las direcciones IP de origen y destino para los siguientes ataques:0x47602f00 – DCERPC: Suspicious DCERPC Call 0x4021c500 – HTTP: phpBB Viewtopic.php Remote Command Execution 0x4023a400 – HTTP: Possible IPS evasive with Apache HTTP Server 0x40018e00 – IP: Options Validation Vulnerability 0x00010a00 – IPv4: Malformed Options Evasion Attempt Detected 0x40709d00 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (High) 0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00012f00 – SMB: NB Chaff Detected 0x00013000 – SMB: SMB Chaff Packet Detected 0x00012e00 – SMB: SMB Payload Suspicious pad bytes 0x40011400 – TCP: Illegal Packet Missing SYN, ACK or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00010300 – TCP: Small window packets detected 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
Para obtener más información sobre las directivas IPS en Network Security Platform, consulte la Guía de administración de IPS.
- Haga clic en DirectivasAvanzado Configuración de TCP. Definición Infracción de flujo TCP Para DENEGAR.
Los atacantes se han vuelto más familiarizados con los ataques mediante scripts. Ahora, los atacantes inician fraudes complejos que cortan varios niveles de la pila de protocolos. Incorporan fraudes en más de una capa, en más de un protocolo. En una situación en la que un cliente envía una solicitud HTTP GET a un servidor rogue, el servidor responde con una página maliciosa. En la capa 7, el atacante podría tener páginas web fragmentadas antes de atender al cliente. Además, en el nivel de TCP, el atacante puede segmentar datos TCP. En el nivel de IP, el atacante puede fragmentar el tráfico antes de servirle al cliente. El atacante también puede Agregar chaff entre los datos IP. Un IPS tradicional pierde algunas o todas estas técnicas de fraude y permite que pase el tráfico malicioso. No obstante, tal y como se muestra en los ejemplos anteriores, Network Security Platform está equipada para proteger su red de algunas de las campañas de ataque más perdedores. Esta nota de aplicación analiza únicamente algunos ejemplos de fraudes que admite Network Security Platform. NSP admite otras combinaciones de técnicas de evasión avanzadas que se producen en cada capa de la pila de protocolos, donde se pueden aplicar varias vulnerabilidades.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: