Combattere le tecniche di evasione avanzate con Network Security Platform
Articoli tecnici ID:
KB92003
Ultima modifica: 22/04/2021
Ultima modifica: 22/04/2021
Ambiente
McAfee Network Security Platform (NSP)
Riepilogo
Evasione
I protocolli Internet sono noti per essere complicati e consentire più interpretazioni durante l'implementazione. Gli aggressori utilizzano combinazioni insolite e diversi strumenti di evasione come Funzionamento di AETs diversi:
Ogni AET utilizza funzionalità intrinseche di un protocollo per passare attraverso il sistema di sicurezza di rete non rilevato. In questo documento, si confrontano gli effetti di un sistema di prevenzione delle intrusioni (IPS) tradizionale rispetto a quello della piattaforma di sicurezza di rete. Per esporre questi effetti, consideriamo i seguenti AETs:
- Frammentazione SMB o MSRPC
- Imbottitura SMB
- Evasione del livello dell'applicazione mediante offuscamento del documento
- Offuscamento JavaScript
- Contenuto codificato HTTP UTF-8
- Evasione HTTP (codifica URL)
- Puntatore TCP urgente
- Handshake Split TCP
- Frammentazione IP
- Frammentazione IP con Pula
Chiamata di procedura remota (RPC) è un Framework di comunicazione tra processi. Consente a un programma informatico di eseguire una subroutine o una procedura per l'esecuzione in un altro spazio di indirizzi (in genere su un altro computer di una rete condivisa). In effetti, esso assume gran parte delle funzioni di rete di basso livello e consente al programmatore di concentrarsi sui metodi e sulle procedure che desiderano implementare.
Microsoft Windows (Windows) vengono imbarcati in varianti di server e desktop. Tutte le varianti di Windows nave con implementazioni di numerosi servizi di rete. Il servizio Server è un servizio che supporta la condivisione di file, stampanti e named pipe sulla rete per computer basati su Windows. La comunicazione con named pipe viene utilizzata per RPC perché supporta la comunicazione tra le applicazioni in esecuzione sui sistemi distribuiti.
Si è verificata una vulnerabilità buffer overflow nel Servizio Server durante l'elaborazione delle richieste RPC. Gli aggressori remoti non autenticati possono exploit questa vulnerabilità inviando messaggi appositamente predisposti all'interfaccia interessata. Lo sfruttamento riuscito può portare a un'esecuzione arbitraria di codice con diritti a livello di sistema.
Blocco dei messaggi server (SMB) è un protocollo utilizzato da Windows per l'individuazione e l'accesso a risorse quali condivisioni, stampanti o computer. SMB dispone di caratteristiche che un aggressore può utilizzare per nascondere traffico dannoso per exploit vulnerabilità basate su SMB e MSRPC. Inoltre, SMB funge da mezzo di trasporto per Microsoft chiamata di procedura remota (MSRPC).
Il meccanismo RPC consente a un'applicazione di richiamare senza problemi le procedure remote, come se queste procedure venissero eseguite localmente.
Sono presenti due implementazioni principali del meccanismo RPC:
- Open Network Computing (ONC) RPC
- RPC di Distributed Computing Environment (DCE)
MSRPC utilizza uno o più dei seguenti protocolli per il trasporto:
- TCP
- UDP
- HTTP
- SMB
Frammentazione SMB o MSRPC:
Una volta completata l'handshake SMB, viene effettuata una richiesta MSRPC. Una richiesta MSRPC viene utilizzata di frequente al back-end in Windows. Si consideri un esempio quando si tenta di accedere a email utilizzando Microsoft Outlook. Dopo aver fornito le credenziali, Outlook comunica con Exchange Server per scaricare questi messaggi. Durante questa procedura, vengono apportate diverse richieste MSRPC al server Exchange. In alternativa, prendere in considerazione un altro esempio in cui si desidera utilizzare una stampante di rete per stampare un documento. Quando si emette un comando di stampa, il client effettua le richieste MSRPC al server di stampa.
Un attacco può essere eseguita durante un SMB handshake o durante una richiesta di MSRPC. Così come il payload può essere frammentato in TCP e IP, può essere frammentato in SMB e MSRPC. Il payload può quindi essere distribuito su più frammenti. Tuttavia, a differenza di TCP e IP, i frammenti di SMB e MSRPC non possono essere inviati in ordine. Un IPS tradizionale, che non supporta tale rilevamento, analizza il comportamento di completamento dell'handshake e della richiesta ma non si occupa di approfondire questi processi. L'IPS convalida la richiesta di SMB handshake e MSRPC. L'IPS rileva quindi l'attacco abbinando la stringa alla Signature di attacco disponibile nel set di firme. Tuttavia, un IPS tradizionale non è in grado di riassemblare SMB e frammenti MSRPC. L'IPS non riesce a riconoscere l'attacco perché parti dell'attacco sono distribuite su più frammenti.
L'illustrazione riportata di seguito descrive SMB frammentazione.
Ad esempio, se un aggressore desidera inviare alcuni malware che contengono i caratteri B, Un e D in esso, potrebbero prendere in considerazione l'invio come MALE. Tuttavia, se l'IPS contiene questa firma di attacco, rileva e blocca l'attacco.
Si supponga tuttavia che le dimensioni MTU del percorso consentano 3 byte alla volta. Potrebbero semplicemente frammentare il traffico e passarlo a 1 byte o 2 byte alla volta alla destinazione. Potrebbero prendere in considerazione l'invio come B E poi AD, oppure BA E poi D, oppure B, Un, e D. In ogni caso, il traffico viene inviato su più frammenti come rappresentato nell'illustrazione sopra riportata. Dispositivo di sicurezza di rete che non è in grado di riassemblare i dati prima che l'analisi consenta il passaggio del traffico maligno. Questa restrizione compromette la rete.
La frammentazione di MSRPC funziona più o meno allo stesso modo con l'eccezione che la frammentazione viene effettuata nei datagrammi MSRPC. L'illustrazione riportata di seguito descrive la frammentazione di MSRPC.
Rilevamento della piattaforma di Network Security per SMB o frammentazione MSRPC
Network Security Platform riassembla SMB o MSRPC frammenti prima che inizi il processo di rilevamento e possa rilevare un attacco.
Imbottitura SMB
Per mantenere il payload SMB allineato a una dimensione di memoria specifica, SMB supporta l'aggiunta di pad all'interno dei segmenti. Il pad viene inserito tra l'intestazione SMB e l'inizio del payload effettivo.
L'intestazione SMB dispone di un campo puntatore dati che mostra l'inizio del payload effettivo quando è presente un pad. Tutti i dati dopo l'intestazione SMB, fino a quando il byte a punta viene ignorato.
Windows Elimina tutti i pad presenti e continua direttamente al payload. Ma, un IPS tradizionale che non è in grado di scartare tali pastiglie estrarli con il payload durante il rilevamento e, in ultima analisi, consentire il passaggio del traffico.
Un aggressore che desidera inviare malware contenenti caratteri B, Un, e D nella sua stringa può tamponare questi caratteri per eludere il rilevamento. Quando questa stringa passa attraverso l'IPS, viene estratto per il rilevamento come
Rilevamento della piattaforma di Network Security per SMB Padding
Network Security Platform è in grado di rilevare la presenza di pad e ignorare questi byte prima che il payload venga estratto per il rilevamento.
Evasione del livello dell'applicazione mediante offuscamento del documento:
L'offuscamento dei documenti è diventato un metodo comune per malware gli autori di distribuire malware e infettare le reti. Documenti come Word, Excel e file PDF sono i file utilizzati più di frequente. Ma data la flessibilità dei PDF per essere resi facilmente, l'offuscamento PDF ha guadagnato una notevole popolarità negli ultimi anni.
I file PDF dannosi sono alcune delle minacce più comuni utilizzate per infettare gli utenti con malware. Network Security Platform focalizza la sua attenzione in modo appropriato nel rilevamento di questi file. Al contrario, i creatori di file dannosi si concentrano molto sull'eludere tali tecniche di rilevamento.
Il rilevamento di documenti dannosi è stato complicato per i seguenti motivi:
- I mattoni di base del documento come gli oggetti nei file PDF sono complessi e presentano numerose forme
- I flussi contenuti nei documenti che mostrano testo o immagini possono essere compressi e memorizzati in vari modi.
- La maggior parte dei formati di documenti supporta gli script in una certa misura. Ad esempio, JavaScript in formato PDF può essere offuscata in modo pesante, nascondendo il codice effettivo.
- Supporto documenti che incorporano altri documenti. Ad esempio, un file eseguibile dannoso può essere incorporato all'interno di un file PDF non dannoso. Questo file può quindi essere incorporato in un altro documento.
Offuscamento PDF può essere effettuata utilizzando diversi approcci:
- I campi nome, che costituiscono i mattoni di base dei file PDF, possono contenere oggetti all'interno di quelli con codifica esadecimale. Un IPS tradizionale cerca i caratteri ASCII durante l'analisi dei campi del nome.
- I campi stringa all'interno degli oggetti possono essere suddivisi in più righe. Quando i campi stringa sono divisi, diventano non riconoscibili a un IPS tradizionale.
- JavaScript può essere codificato utilizzando diversi filtri, ad esempio
ascii85 ,asciihex ,lzw , eseguire la codifica di lunghezza e sgonfiare.
Questi filtri possono essere applicati in JavaScript più volte. L'utilizzo di uno di questi filtri comprime i dati. I dati compressi non sono riconoscibili in un IPS tradizionale, a meno che l'IPS non possa decomprimerlo. - I JavaScript dannosi possono essere nascosti all'interno di campi XFA o annotazioni.
- I nomi dei filtri negli oggetti possono essere abbreviati.
Per esempioAsciiHexDecode diventaAhx .
Se un IPS non è in grado di rilevare tali anomalie, un PDF malevolo entra nella rete. Tra gli exploit PDF più comuni, gli aggressori preferiscono utilizzare una qualche forma di JavaScript embedded.
Ad esempio, sostituzioni di stringhe, eccezioni try-catch,
Network Security Platform Detection per l'offuscamento PDF:
NSP è stato progettato per rilevare i file PDF dannosi anche quando vengono utilizzati i metodi di offuscamento sopra citati. Vengono utilizzati decodificatori per le tecniche di codifica/compressione JavaScript utilizzate di frequente. NSP è in grado di individuare JavaScript nascosti in percorsi quali XFA o annotazioni.
Rilevamento della piattaforma di sicurezza di rete per JavaScript nell'offuscamento PDF:
Se la vulnerabilità sfruttata non è presente nel motore di JavaScript di Acrobat, JavaScript svolge ancora un ruolo nella creazione di un PDF dannoso. L'estrazione e l'analisi delle JavaScript embedded sono importanti per rilevare le minacce basate su PDF.
Offuscamento JavaScript
Prendere in considerazione un esempio in cui un semplice Salve, mondo il programma in JavaScript si presenta come indicato di seguito. Nota L'IPS tradizionale vede la stringa Hello World come avviso (Hello World).
La versione equivalente offuscata in JavaScript è simile alla seguente.
L'IPS tradizionale non riesce a rilevare Salve, mondo in questo programma offuscato.var _1204; var _2288 =' 120B105E146A1044F1099C1064F1129A1139C759C729A919D1064F1099D1099E1114C719E994B1114F1129F1099D1059A729D764A854A '; var _1804 =/[\x41\x42\x43\x44\x45\x46]/; var _8663 = 2; var _5586 = _2288. charAt (_2288. length-1); var _5657; var _2069 = _2288. Split (_1804); var _9062 = [String. fromCharCode, isNaN, parseInt, String]; _2069 [1] = _9062 [_8663 + 1] (_9062 [_8663] (_2069 [1])/21); var _6574 = (_8663 = = 8)? Stringa: EVAL; _5657 =''; _11 = _9062 [_8663] (_2069 [0])/_9062 [_8663] (_2069 [1]); per (_1204 = 3; _1204<_11;_1204++) _5657 + = (_9062 [_8663-2] ((_9062 [_8663] (_2069 [_1204]) + _9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1]))/_9062 [_8663] (_2069 [1])-_9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])-1)); var _2799 =' _5900'; var _5430 =' _2799 = _5657'; funzione _1039 (_6946) {_6574 (_7060); _1039 (_7196); _7196 (_5430); _1039 (_2799);} var _7060 =' _1039 = _6574'; var _7196 =' _7196 = _1039'; _1039 (_5586);
Rilevamento della piattaforma di Network Security per JavaScript offuscamento
NSP non esegue una corrispondenza di stringa qui. In alternativa, esegue il JavaScript all'interno di un comportamento di runtime di JavaScript VM e profili per determinare se è dannoso o meno.
NSP è in grado di rilevare malware nonostante JavaScript offuscamento e di ignorare la JavaScript se non è dannoso. Inoltre, non attiva automaticamente un avviso per JavaScript offuscamento se il traffico non è dannoso.
Contenuto codificato HTTP UTF-8
Qualsiasi browser deve conoscere il set di caratteri da utilizzare per decodificare una pagina ed eseguirne il rendering in modo corretto. Per supportare più lingue, vengono utilizzati diversi formati di codifica dei caratteri.
In una tipica sequenza di attacco quando si sfrutta tale evasione, l'aggressore codifica il contenuto della pagina HTML utilizzando UTF-8. In questo schema il carattere Un, ad esempio, possono essere rappresentati come 41 o come c1a1. Un IPS tradizionale cerca il carattere Un e la manca se è stata codificata.
Rilevamento della piattaforma di Network Security per l'evasione HTTP UTF-8
NSP è stato progettato per esaminare le tipo di contenuto campo dell'intestazione HTTP. Questo campo contiene informazioni sulla natura dei dati nel corpo della pagina Web. Il sottocampo CharSet nell'intestazione indica il set di caratteri utilizzato per codificare la pagina Web. Questo campo subfield fornisce a NSP l'Insight necessario per decodificare la pagina. NSP analizza i campi e richiama il decodificatore di caratteri appropriato in base al
Evasione HTTP (codifica URL)
Ogni URL, quando viene inviato a un Web Server, Visualizza le pagine Web che vengono recuperate da tale server utilizzando una richiesta HTTP GET. Quando si digita un URL nella barra degli indirizzi, il browser richiede la visualizzazione delle pagine Web appropriate.
Un aggressore tenta di eseguire azioni nel server Web. Queste azioni includono la visualizzazione di informazioni da directory specifiche o l'esecuzione di determinati comandi. Per eludere i dispositivi di sicurezza di rete, un aggressore può codificare o offuscare gli URL. Il comportamento predefinito di un server HTTP del destinatario consiste nel normalizzare tali URL. Un IPS tradizionale non è in grado di emulare il comportamento di un server Web. L'IPS non è in grado di normalizzare gli URL prima del rilevamento e consente a questi attacchi di penetrare nelle difese di rete. L'evasione HTTP viene mostrata negli esempi riportati di seguito.
Evasione HTTP | Stringa originale | Quando codificato diventa |
Codifica esadecimale URL HTTP | ||
Codifica UTF URL HTTP | %u0068%u0074%u006d%u006c |
|
URL HTTP con percorsi self-referenziale | ||
URL HTTP con directory fasulle nel percorso | ||
URL HTTP con più spazi e schede | ||
URL assoluto HTTP |
Negli esempi sopra citati, un server Web normalizza un URL codificato o offuscato e lo analizza come URL originale. L'eccezione è l'ultimo esempio. Un IPS tradizionale non è in grado di emulare questo comportamento e, di conseguenza, non è in grado di uguagliare la stringa con nessuna delle firme di attacco.
Evasione HTTP metodo alternativo:
HTTP supporta verbi diversi come GET, POST, PUT e HEAD per azioni quali il recupero di una pagina, l'invio di dati o la richiesta di un'intestazione del server HTTP. Alcune vulnerabilità basate su URL potrebbero avere un trigger di vulnerabilità nell'URL. È possibile utilizzare uno di questi verbi con l'URL dannoso per inviare una richiesta al server Web per attivare la vulnerabilità.
Ad esempio, se un URL che supera i 128 byte attiva un buffer overflow in un server Web, un aggressore può inviare una delle seguenti richieste per impostare la vulnerabilità in un attacco.
GET /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 POST /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 PUT /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0
Rilevamento della piattaforma di sicurezza di rete per l'evasione HTTP mediante la codifica URL
La piattaforma di sicurezza di rete può normalizzare gli URL codificati o offuscati prima di essere rilevati. Durante il rilevamento, questi URL corrispondono a stringhe di URL dannosi presenti nelle firme degli attacchi e bloccano l'attacco.
In qualità di amministratore, è possibile programmare l'IPS per rilevare le richieste, ad esempio POST e PUT, e concentrarsi solo sull'URL.
Puntatore TCP urgente
I dati urgenti denotano i dati che devono essere elaborati nel più breve tempo possibile. Questi dati vengono elaborati, anche prima di dati "normali" che potrebbero essere in attesa. La presenza di dati urgenti è contraddistinta dall'impostazione della bandiera urgente. Se il contrassegno urgente è impostato, indica che il puntatore urgente è valido e fa riferimento a tali dati.
I dati urgenti possono anche essere considerati come dati fuori banda e il puntatore urgente si riferisce all'ultimo byte di tali dati. I protocolli, ad esempio SMB e HTTP, ignorano tali dati. Un IPS tradizionale non ignora questi dati. Questi dati diventano quindi parte del payload riassemblato utilizzato per il rilevamento. Questa decisione può causare malware di eludere il rilevamento.
In un esempio simile a MALE (consultare la sezione SMB o MSRPC frammentazione). La stringa MALE potrebbe essere suddiviso in tre segmenti ciascuno dei quali inizia con un byte di dati urgenti, X. Se i dati urgenti non vengono ignorati, il payload riassemblato viene visualizzato come
Rilevamento della piattaforma di Network Security per l'evasione del puntatore TCP urgente
Al momento del riassemblaggio del flusso TCP, Network Security Platform ignora i dati urgenti per SMB e altri protocolli noti per ignorarlo.
Handshake Split TCP
Il TCP handshake a tre vie nel protocollo di controllo della trasmissione viene utilizzato da TCP per impostare una connessione TCP/IP su una rete basata su protocollo Internet. La tecnica di handshake a tre vie di TCP viene spesso definita
Nota Nel contesto di questo documento, stiamo prendendo in considerazione un client e un server HTTP.
Il meccanismo di handshaking TCP è quello previsto in modo che due computer che tentano di comunicare possano negoziare i parametri della connessione TCP socket di rete. I computer possono negoziare questa connessione prima di trasmettere dati quali le richieste di browser Web SSH e HTTP.
Oltre a questa stretta di mano accettata formalmente, esiste anche un altro metodo per stabilire una connessione TCP/IP tra un client e un server. Questo metodo è legittimo, ma raramente adottato ed è noto come handshake aperto simultaneamente.
Con questa connessione, sia un client che un server inviano un pacchetto SYN l'uno all'altro nello stesso momento. Quindi entrambi i lati inviano i pacchetti ACK l'uno all'altro in risposta. Questa variante non convenzionale dell'handshake TCP non viene praticata molto nel mondo reale. La RFC accetta questa variazione come un modo legittimo per avviare una connessione TCP. Quando si esegue un Evasione di handshake TCP Split, l'aggressore utilizza il concetto di handshake aperto simultaneamente. L'aggressore è il server che sta cercando di ottenere l'accesso a una rete.
In sostanza, un client invia un pacchetto SYN a un server, con l'intenzione di completare un normale handshake a tre vie. Ma, piuttosto che completare l'handshake a tre vie del client, un server malevolo inizia rispondendo come se stesse eseguendo una connessione simultanea. Il server avvia quindi il proprio handshake a tre vie nell'altra direzione (dal server al client). Un IPS tradizionale è confuso nell'analizzare questo comportamento come l'avvio di una nuova stretta di mano a tre vie. Pertanto, l'aggressore può ottenere il controllo sul client.
Rilevamento della piattaforma di sicurezza di rete per l'evasione dell'handshake TCP Split
A parte l'handshake TCP regolare, le lattine della piattaforma di sicurezza di rete rilevano un handshake diviso e qualsiasi attacco che accade su tale connessione.
Frammentazione IP
La dimensione MTU di un collegamento determina se è necessario frammentare un datagramma in unità più piccole o meno. Se l'MTU consentita dal collegamento è inferiore alla dimensione del datagramma originale, l'IP utilizza la frammentazione in modo che i pacchetti possano essere formati per passare attraverso il collegamento. Un aggressore può deliberatamente frammentare un pacchetto IP in modo che il pacchetto IP venga distribuito su più frammenti.
Un aggressore può exploit questa funzione per eludere un dispositivo di sicurezza di rete. Possono utilizzare uno strumento di evasione per frammentare i pacchetti di attacco originali. Possono quindi utilizzare una delle seguenti tecniche per inviare frammenti:
- Tutti i frammenti vengono inviati in:
- Ordine corretto (valori crescenti per l'offset frag)
- L'ordine inverso (valori decrescenti per l'offset di frag)
- L'ordine appropriato tranne il primo frammento inviato per ultimo
- L'ordine appropriato tranne l'ultimo frammento inviato per primo
- I frammenti vengono mischiati e inviati fuori ordine
Si supponga che malware contenga un attacco nel datagramma IP. È frammentato come sopra indicato. Un IPS tradizionale non è in grado di riassemblare i frammenti per rilevare l'attacco. Esamina il traffico come frame separati e consente un attacco da sottoporre a slittamento.
Rilevamento di Network Security Platform per evasione della frammentazione IP
Network Security Platform è in grado di riassemblare la stringa maligna e rilevare l'attacco.
Frammentazione IP con Pula
Come nella frammentazione IP, un aggressore utilizza uno strumento di evasione per frammentare il datagramma IP originale che contiene pacchetti di attacco. Dopo aver frammentato il pacchetto, l'aggressore interferisce i pacchetti di Pula con i frammenti.
Un pacchetto di Pula è un pacchetto non valido, il bersaglio stack ignora, in base a determinati controlli menzionati di seguito. La Pula può contenere una delle seguenti anomalie a causa della quale viene ignorata.
- Checksum non valido e quindi viene eliminato dal stack di destinazione.
- Un piccolo TTL a causa del quale scade prima che raggiunga il bersaglio.
- Campo di opzioni non valido a causa del quale viene eliminato dal stack di destinazione.
Rilevamento della piattaforma di Network Security per la frammentazione IP con l'evasione di Pula
Al momento del riassemblaggio, tutti i campi di intestazione IP vengono esaminati per contenere contenuti validi prima che il payload venga utilizzato per il rilevamento. Se si sospetta che un pacchetto sia Pula, viene eliminato e il payload non valido da esso portato viene ignorato.
Verifica dell'efficacia della piattaforma di sicurezza di rete contro le tecniche di evasione avanzate
È possibile utilizzare uno strumento avanzato di test della tecnica di evasione per verificare l'efficacia del McAfee Network Security Platform contro le tecniche di evasione avanzate. Per questo articolo, viene visualizzato questo test utilizzando McAfee (Stonesoft) Evader.
IMPORTANTE L'ambiente di test utilizzato per questo test è simile a quello utilizzato durante i test NSS. McAfee Network Security Platform raggiunto il rilevamento del 100% durante i test di NSS Labs.
È necessario utilizzare le seguenti versioni del software e del set di firme:
- Sensor:
- Serie M: 8.1.3.52 o versioni successive
- Serie NS: 8.1.5.59 o versioni successive
- Manager: 8.1.7.5 o versioni successive
- Set di firme: 8.7.46.3 o versioni successive
- Evader: 2013_4_594 o versioni successive
È necessario configurare il Sensor per utilizzare il policy All-Inclusive-audit o un clone di questo policy. Per ottimizzare il numero di avvisi, è possibile ricevere e ridurre al minimo il numero di avvisi a bassa gravità:
- Accedere al Manager.
Fare clic su Politica,, IntrusionPrevention, Policy IPS.
- Selezionare il All-Inclusive-con-verifica policy o un clone non modificato e fare clic su Visualizza/modifica.
- Nella finestra di modifica policy visualizzata, fare clic sul pulsante Gravità intestazione di colonna da ordinare in base alla gravità.
- A partire dalla parte superiore dell'elenco, utilizzare il tasto MAIUSC e il tasto freccia giù per selezionare tutti gli attacchi categorizzati 0 (Info) e 1 (Basso).
- Fare clic con il pulsante destro del mouse nell'elenco e fare clic su Disattiva. Tutti gli attacchi selezionati devono disattivare il simbolo X.
- Ora cercate gli attacchi elencati di seguito e attivate solo questi attacchi:
0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00010300 – TCP: Small Window Packets Detected 0x40011400 – TCP: Illegal Packet Missing SYN, ACK, or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
- Fare clic su Salva per completare la configurazione.
Per informazioni dettagliate sull'attivazione di questo policy, consultare la Guida all'amministrazione di NSP IPS per il rilascio.
Nota Quando viene eseguita per un periodo di tempo prolungato, è possibile che si verifichi una minore differenza nei risultati. Questa differenza è dovuta al fatto che lo strumento Evader può generare attacchi utilizzando insiemi randomizzati di tecniche di evasione.
McAfee suggerisce di utilizzare questo strumento per confrontare le prestazioni relative di diversi prodotti ed eseguire il test più volte per ogni prodotto. Questo confronto fornisce una comprensione della capacità di ogni prodotto testato, di rilevare e bloccare gli attacchi mascherati con queste tecniche
- Utilizzare la guida dell'utente di McAfee (Stonesoft) per installare e configurare l'ambiente di test Evader.
- Dopo l'implementazione della piattaforma di sicurezza di rete, verificare di aver apportato le seguenti impostazioni nella Manager prima di utilizzare Evader:
- Fare clic su PoliticaAvanzate Impostazioni TCP. Impostare Violazione del flusso TCP A NEGARE.
Se si configura questa impostazione, si garantisce che le violazioni del flusso TCP vengano eliminate.
- Fare clic su PoliticaAvanzate Impostazioni TCP.
Impostare Azione drop Start a freddo da eliminare.
- Fare clic su Interfacce IPS,
, Protezione Profilo, Ispezione avanzata del traffico,
AttivareInspect MS RPC/SMB fragments for malicious payload .
- Durante l'esecuzione del
conficker test, accedere alla Manager e configurare l'azione di risposta come bloccati. Imposta unTCP RST risposta dell'origine e degli indirizzi IP di destinazione, per i seguenti attacchi:0x47602f00 – DCERPC: Suspicious DCERPC Call 0x4021c500 – HTTP: phpBB Viewtopic.php Remote Command Execution 0x4023a400 – HTTP: Possible IPS evasive with Apache HTTP Server 0x40018e00 – IP: Options Validation Vulnerability 0x00010a00 – IPv4: Malformed Options Evasion Attempt Detected 0x40709d00 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (High) 0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00012f00 – SMB: NB Chaff Detected 0x00013000 – SMB: SMB Chaff Packet Detected 0x00012e00 – SMB: SMB Payload Suspicious pad bytes 0x40011400 – TCP: Illegal Packet Missing SYN, ACK or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00010300 – TCP: Small window packets detected 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
Per ulteriori informazioni sulle policy IPS in Network Security Platform, consultare la sezione Guida all'amministrazione IPS.
- Fare clic su PoliticaAvanzate Impostazioni TCP. Impostare Violazione del flusso TCP A NEGARE.
Gli aggressori sono diventati più abili negli attacchi di scripting. Gli aggressori ora avviano evasioni complesse che vengono tagliate su più livelli del protocollo stack. Incorporano le evasioni in più di un livello, in più di un protocollo. In una situazione in cui un client invia una richiesta HTTP GET a un server inaffidabile, il server risponde con una pagina dannosa. Al livello 7, l'aggressore potrebbe avere pagine Web Chunked prima di servirle al client. Inoltre, a livello di TCP, l'aggressore può segmentare i dati TCP. A livello di IP, l'aggressore può frammentare il traffico prima di essere servito al client. L'aggressore può, inoltre, aggiungere Pula tra i dati IP. Un IPS tradizionale perde alcune o tutte queste tecniche di evasione e consente il passaggio del traffico maligno. Ma, come mostrato negli esempi sopra citati, Network Security Platform è equipaggiato per proteggere la vostra rete da alcune delle campagne di attacco più insidiose. Questa nota dell'applicazione illustra solo alcuni esempi di evasione che Network Security Platform supporta. NSP supporta diverse altre combinazioni di tecniche di evasione avanzate che si verificano a ogni livello del protocollo stack, dove è possibile applicare più exploit.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: