Combatendo técnicas avançadas de evasão com a plataforma de segurança de rede
Artigos técnicos ID:
KB92003
Última modificação: 2021-04-23 02:23:40 Etc/GMT
Última modificação: 2021-04-23 02:23:40 Etc/GMT
Ambiente
McAfee Network Security Platform (NSP)
Resumo
Evasão
Os protocolos de Internet são conhecidos como complicados e permitem várias interpretações durante a implementação. Os atacantes usam combinações incomuns e várias ferramentas de evasão, como Como os diferentes AETs operam:
Cada AET usa recursos inerentes em um protocolo para passar pelo sistema de segurança de rede sem ser detectado. Neste documento, comparamos os efeitos de um sistema tradicional de prevenção contra intrusões (IPS) em relação à plataforma de segurança de rede. Para exibir esses efeitos, consideramos os seguintes AETs:
- Fragmentação de SMB ou MSRPC
- SMB enchimento
- Evasão de camada de aplicativo por meio de ocultação de documentos
- Ofuscação de JavaScript
- Conteúdo codificado HTTP UTF-8
- HTTP evasão (codificação de URL)
- Ponteiro urgente TCP
- Handshake de divisão de TCP
- Fragmentação de IP
- Fragmentação de IP com o Chaff
Chamada de procedimento remoto (RPC) o é uma estrutura de comunicação entre processos. Ele permite que um programa de computador cause uma sub-rotina ou um procedimento para ser executado em outro espaço de endereço (normalmente em outro computador em uma rede compartilhada). Na verdade, ele assume grande parte das funções de rede de nível baixo e permite que o programador se concentre em métodos e procedimentos que desejam implementar.
A Microsoft Windows (Windows) é fornecida nas variantes do servidor e da área de trabalho. Todas as variantes do Windows são fornecidas com implementações de inúmeros serviços de rede. O serviço do servidor é um serviço que oferece suporte a arquivo, impressão e compartilhamento de pipes nomeados pela rede para computadores com base em Windows. A comunicação de pipe nomeado é usada para RPC, pois ela é compatível com a comunicação entre aplicativos executados em sistemas distribuídos.
Há uma vulnerabilidade de estouro de buffer no Serviço do servidor durante o processamento de solicitações de RPC. Os invasores remotos não autenticados podem explorar essa vulnerabilidade enviando mensagens especialmente criadas para a interface afetada. A exploração bem-sucedida pode levar à execução de códigos arbitrários com direitos de sistema.
Bloqueio de mensagens do servidor (SMB) é um protocolo usado pelo Windows para localização e acesso a recursos, como compartilhamentos, impressoras ou computadores. A SMB tem características que um atacante pode usar para ocultar o tráfego malicioso para explorar as vulnerabilidades com base em SMB e no MSRPC. Além disso, SMB atua como um transporte para Microsoft chamada de procedimento remoto (MSRPC).
O mecanismo de RPC permite que um aplicativo invoque perfeitamente procedimentos remotos, como se esses procedimentos fossem executados localmente.
Há duas implementações principais do mecanismo de RPC:
- RPC do Open Network Computing (ONC)
- RPC de ambiente de computação distribuída (DCE)
O MSRPC usa um ou mais dos seguintes protocolos para transporte:
- TCP
- UDP
- HTTP
- SMB
Fragmentação de SMB ou MSRPC:
Depois que um handshake de SMB for concluído com êxito, uma solicitação de MSRPC será feita. Uma solicitação MSRPC é freqüentemente usada no back-end em Windows. Considere um exemplo ao tentar acessar o e-mail usando Microsoft Outlook. Depois de fornecer as credenciais, o Outlook se comunica com o Exchange Server para download esses e-mails. Durante esse procedimento, várias solicitações MSRPC são feitas no Exchange Server. Ou então, considere outro exemplo em que você deseja usar uma impressora de rede para imprimir um documento. Quando você emite um comando de impressão, o cliente faz solicitações MSRPC ao servidor de impressora.
Um ataque pode ser realizado durante um handshake de SMB ou durante uma solicitação de MSRPC. Assim como a carga pode ser fragmentada em TCP e IP, ela pode ser fragmentada em SMB e MSRPC. A carga pode, então, ser distribuída por vários fragmentos. Mas, diferentemente de TCP e IP, os fragmentos de SMB e MSRPC não podem ser enviados fora de ordem. Um IPS tradicional, que não é compatível com tal detecção, analisa o comportamento de concluir o handshake e a solicitação, mas não parece mais nesses processos. O IPS valida o handshake de SMB e a solicitação de MSRPC. O IPS, em seguida, detecta o ataque combinando a cadeia com a assinatura de ataque disponível em seu conjunto de assinaturas. No entanto, um IPS tradicional não consegue remontar SMB e fragmentos de MSRPC. O IPS não reconhece o ataque, pois partes do ataque estão espalhadas por vários fragmentos.
A ilustração abaixo representa a fragmentação de SMB.
Por exemplo, se um invasor quiser enviar algum malware que contenha os caracteres B, Um em Exibir nele, eles podem considerar enviá-lo como MAL-INTENCIONADA. Mas, se o IPS contiver essa assinatura de ataque, ele detectará e bloqueará o ataque.
No entanto, presuma que o tamanho da MTU no caminho permite 3 bytes por vez. Eles podiam simplesmente fragmentar o tráfego e passá-lo em 1 byte ou 2 bytes por vez para o destino. Eles podem considerar o envio como B e, em seguida, AD, ou Bacharelado e, em seguida, Exibir, ou B, Um, e Exibir. Em qualquer caso, o tráfego é enviado por vários fragmentos, conforme representado na ilustração acima. Um dispositivo de segurança de rede que não é capaz de remontar esses dados antes da análise permite que o tráfego mal-intencionado seja transmitido. Essa restrição compromete a rede.
A fragmentação do MSRPC funciona da mesma forma que exceção a fragmentação realizada nos datagramas do MSRPC. A ilustração abaixo representa a fragmentação do MSRPC.
Detecção de plataforma de segurança de rede para SMB ou fragmentação de MSRPC
A plataforma de segurança de rede remonta fragmentos de SMB ou de MSRPC antes do início do processo de detecção e pode detectar um ataque.
SMB enchimento
Para manter a carga de SMB alinhada a um tamanho de memória específico, SMB é compatível com a adição de pads dentro de seus segmentos. O pad é inserido entre o cabeçalho SMB e o início da carga real.
O cabeçalho SMB tem um campo de ponteiro de dados que mostra o início da carga real quando há um pad presente. Todos os dados após o cabeçalho SMB, até que o byte pontiagudo seja Descartado.
Windows descarta todos os pads presentes e continua diretamente com a carga. No entanto, um IPS tradicional que não consegue descartar esses pads os extrai com o Payload durante a detecção e, por fim, permite que o tráfego seja transmitido.
Um invasor que deseja enviar malware contendo caracteres B, Um, e Exibir em sua cadeia de caracteres, é possível preencher esses caracteres para evitar a detecção. Quando essa cadeia de caracteres passa pelo IPS, ela é extraída para ser detectada como
Network Security Platform Detection para SMB enchimento
A plataforma de segurança de rede pode detectar a presença de Pads e ignorar esses bytes antes que a carga seja extraída para detecção.
Evasão de camada de aplicativo por meio de ocultação de documentos:
O ocultamento de documentos tornou-se um método comum para que os autores de malware distribuam malware e infectam redes. Documentos como Word, Excel e arquivos PDF são os arquivos usados com mais frequência. Mas, considerando-se a flexibilidade dos PDFs serem renderizados facilmente, a ocultação de PDFs ganhou popularidade considerável nos últimos anos.
Os arquivos PDF maliciosos são algumas das ameaças mais comuns usadas para infectar os usuários com malware. A plataforma de segurança de rede concentra-se em grande parte da sua atenção na detecção adequada desses arquivos. Por outro lado, os criadores de arquivos maliciosos concentram-se muito em escapar dessas técnicas de detecção.
A detecção de documentos maliciosos é feita complicadamente pelos seguintes motivos:
- Os blocos de construção básicos do documento, como objetos em arquivos PDF, são complexos e têm vários formatos
- Os fluxos dentro de documentos que mostram texto ou imagens podem ser compactados e armazenados de várias maneiras.
- A maioria dos formatos de documentos oferece suporte a scripts para algum grau. Por exemplo, JavaScript em PDF pode ser muito ofuscado, ocultando o código propriamente dito.
- Os documentos oferecem suporte à incorporação de outros documentos. Por exemplo, um executável malicioso arquivo pode ser incorporado dentro de um arquivo PDF não-malicioso. Essa arquivo pode, então, ser incorporada em outro documento.
Ocultação de PDF pode ser realizado com várias abordagens:
- Os campos de nome, que são os blocos de construção básicos de PDFs, podem conter objetos dentro deles que são codificados em hexadecimal. Um IPS tradicional procura caracteres ASCII ao analisar os campos de nome.
- Os campos de cadeia dentro de objetos podem ser divididos em várias linhas. Quando os campos de cadeia de caracteres são divididos, eles tornam-se reconhecíveis para um IPS tradicional.
- Os JavaScript podem ser codificados usando vários filtros, como
ascii85 ,asciihex ,lzw , codificação de tempo de execução e desinflar.
Esses filtros podem ser aplicados na JavaScript várias vezes. O uso de qualquer um desses filtros compacta os dados. Os dados compactados não podem ser reconhecidos em um IPS tradicional, a menos que os IPS possam descompactá-los. - Os JavaScript maliciosos podem ser ocultados nos campos XFA ou Annotation.
- Os nomes de filtro em objetos podem ser abreviados.
Por exemplo,AsciiHexDecode passarAhx .
Se um IPS não puder detectar tais anomalias, uma lista de PDFs maliciosos será dividida na rede. Entre as explorações de PDF mais comuns, os invasores preferem usar alguma forma de JavaScript incorporada.
Por exemplo, substituições de cadeias, tentar-capturar exceções
Proteção de plataforma de segurança de rede para ocultação de PDF:
O NSP foi projetado para detectar PDFs maliciosos, mesmo quando os métodos de ofuscação mencionados acima são usados. Os decodificadores para as técnicas de codificação/compactação usadas com frequência JavaScript são usados. O NSP pode localizar JavaScript ocultos em locais como XFA ou anotações.
Detecção de plataforma de segurança de rede para JavaScript em ocultação de PDF:
Se a vulnerabilidade que está sendo explorada não estiver presente no mecanismo de JavaScript do Acrobat, JavaScript ainda desempenha uma função na criação de um PDF malicioso. A extração e análise de JavaScript incorporados são importantes para detectar ameaças baseadas em PDF.
Ofuscação de JavaScript
Considere um exemplo onde um simples Olá, mundo o programa em JavaScript tem a aparência a seguir. OBSERVAÇÃO: O IPS tradicional vê a cadeia Hello World como um alerta (Olá, World).
A versão equivalente em ofusca no JavaScript tem a seguinte aparência.
O IPS tradicional falha ao detectar Olá, mundo neste programa obscurecido.var _1204; var _2288 = ' 120B105E146A1044F1099C1064F1129A1139C759C729A919D1064F1099D1099E1114C719E994B1114F1129F1099D1059A729D764A854A '; var _1804 =/[\x41\x42\x43\x44\x45\x46]/; var _8663 = 2; var _5586 = _2288. charAt (_2288. Length-1); var _5657; var _2069 = _2288. Split (_1804); var _9062 = [String. fromCharCode, isNaN, parseInt, String]; _2069 [1] = _9062 [_8663 + 1] (_9062 [_8663] (_2069 [1])/21); var _6574 = (_8663 = = 8)? String: eval; _5657 = ' '; _11 = _9062 [_8663] (_2069 [0])/_9062 [_8663] (_2069 [1]); para (_1204 = 3; _1204<_11;_1204++) _5657 + = (_9062 [_8663-2] ((_9062 [_8663] (_2069 [_1204]) + _9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])/_9062 [_8663] (_2069 [1])-_9062 [_8663] (_2069 [2]) + _9062 [_8663] (_2069 [1])-1)); var _2799 = ' _5900 '; var _5430 = ' _2799 = _5657 '; função _1039 (_6946) {_6574 (_7060); _1039 (_7196); _7196 (_5430); _1039 (_2799);} var _7060 = ' _1039 = _6574 '; var _7196 = ' _7196 = _1039 '; _1039 (_5586);
Detecção de plataforma de segurança de rede para JavaScript ocultação
O NSP não executa uma correspondência de cadeia de caracteres aqui. Em vez disso, ele executa o JavaScript em um comportamento de tempo de execução de perfis e VM JavaScript para determinar se ele é ou não malicioso.
O NSP pode detectar malware apesar de JavaScript ocultação e ignorar o JavaScript se ele não for malicioso. Além disso, ele não dispara automaticamente um alerta para a ofuscação do JavaScript se o tráfego não for malicioso.
Conteúdo codificado HTTP UTF-8
Qualquer navegador precisa saber qual conjunto de caracteres deve ser usado para decodificar uma página e renderizá-la corretamente. Para oferecer suporte a vários idiomas, vários formatos de codificação de caracteres são usados.
Em uma sequência de ataque típica ao explorar tais evasão, o atacante codifica o conteúdo da página HTML usando UTF-8. Neste esquema, o caractere Um, por exemplo, pode ser representado como 41 ou como c1a1. Um IPS tradicional procura o caractere Um e intectá-lo se ele tiver sido codificado.
Detecção de plataforma de segurança de rede para HTTP UTF-8 evasão
O NSP foi projetado para examinar o tipo de conteúdo do cabeçalho HTTP. Este campo contém informações sobre a natureza dos dados no corpo da página da Web. O subcampo charset no cabeçalho indica qual conjunto de caracteres é usado para codificar a página da Web. Este subcampo fornece NSP a percepção necessária para decodificar a página. O NSP analisa esses campos e chama o decodificador de caracteres apropriado com base no
HTTP evasão (codificação de URL)
Todos os URLs, quando enviados a um servidor Web, exibem páginas da Web que são buscadas a partir do servidor Web usando uma solicitação HTTP GET. Quando você digita um URL na barra de endereços, o navegador solicita páginas da Web apropriadas para serem exibidos.
Um atacante tenta executar ações no servidor da Web. Essas ações incluem a exibição de informações de diretórios específicos ou a execução de determinados comandos. Para enganar os dispositivos de segurança de rede, um atacante pode codificar ou ofuscar URLs. O comportamento padrão de um servidor HTTP de destinatário é normalizar tais URLs. Um IPS tradicional não pode emular o comportamento de um servidor da Web. O IPS não pode normalizar URLs antes da detecção e permite que esses ataques ataquem as defesas de rede. O HTTP evasão é mostrado nos exemplos a seguir.
HTTP evasão | Cadeia de caracteres original | Quando codificada se torna |
Codificação hexadecimal de URL HTTP | ||
Codificação UTF de URL HTTP | %u0068%u0074%u006d%u006c |
|
URL HTTP com caminhos de autorreferência | ||
URL HTTP com diretórios falsos no caminho | ||
URL HTTP com vários espaços e guias | ||
URL absoluto do HTTP |
Nos exemplos acima acima, um servidor da webnormaliza um URL codificado ou ofuscado e o analisa como o URL original. O exceção é o último exemplo. Um IPS tradicional não é capaz de emular esse comportamento e é, como resultado, não pode corresponder à cadeia de caracteres com nenhuma das assinaturas de ataque.
Método alternativo HTTP evasão:
O HTTP oferece suporte a diferentes verbos, como GET, POST, PUT e HEAD para ações como busca de uma página, envio de dados ou solicitação de um cabeçalho de servidor HTTP. Determinadas vulnerabilidades baseadas em URL podem ter um disparador de vulnerabilidade no URL. Qualquer um desses verbos pode ser usado com o URL malicioso para enviar uma solicitação ao servidor da Webpara disparar a vulnerabilidade.
Por exemplo, se um URL maior do que 128 bytes disparar um estouro de buffer em um servidor da Web, um atacante poderá enviar uma das seguintes solicitações para desativar essa vulnerabilidade em um ataque.
GET /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 POST /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0 PUT /home/aaaaaaaaaaaaaa[more than 256 times] HTTP/1.0
Detecção de plataforma de segurança de rede para HTTP evasão usando a codificação de URL
A plataforma de segurança de rede pode normalizar URLs codificados ou ofuscados antes da detecção. Durante a detecção, esses URLs correspondem a cadeias de caracteres de URL maliciosas em assinaturas de ataque e bloqueiam o ataque.
Como administrador, você pode programar o IPS para detectar solicitações, como POST e PUT, e foco apenas no URL.
Ponteiro urgente TCP
Os dados urgentes informam os dados que devem ser processados assim que possível. Esses dados são processados, mesmo antes de dados "normais" que possam estar aguardando. A presença de dados urgentes é definida por meio da definição do sinalizador urgente. Se o sinalizador urgente estiver definido, isso indica que o ponteiro urgente é válido e aponta para esses dados.
Os dados urgentes também podem ser exibidos como dados fora de banda, e o ponteiro urgente se refere ao último byte desses dados. Os protocolos, como SMB e HTTP, ignoram esses dados. Um IPS tradicional não ignora esses dados. Esses dados, em seguida, se tornam parte da carga remontada usada para detecção. Essa decisão pode fazer com que o malware inevitasse a detecção.
Em um exemplo semelhante a MAL-INTENCIONADA (consulte a seção de fragmentação SMB ou MSRPC). A cadeia de caracteres MAL-INTENCIONADA podem ser divididas em três segmentos, cada um começando com um byte de dados urgentes, X. Se esses dados urgentes não forem ignorados, a carga remontada será exibida como
Detecção de plataforma de segurança de rede para ponteiros TCP urgentes evasão
No momento da remontagem de fluxo TCP, a plataforma de segurança de rede ignora os dados urgentes para SMB e outros protocolos conhecidos de ignorá-los.
Handshake de divisão de TCP
O TCP handshake de três vias no protocolo de controle de transmissão é usado pelo TCP para configurar uma conexão TCP/IP por meio de uma rede baseada em protocolo Internet. A técnica de handshake de três vias do TCP é geralmente referida como
OBSERVAÇÃO: No contexto deste documento, estamos considerando um cliente e um servidor HTTP.
O mecanismo de handshaking TCP foi projetado para que dois computadores que tentam se comunicar possam negociar os parâmetros da conexão de soquete TCP de rede. Os computadores podem negociar esta conexão antes de transmitir dados como o SSH e as solicitações HTTP do navegador da Web.
Além desse handshake aceito formalmente, há também outro método de estabelecer uma conexão TCP/IP entre um cliente e um servidor. Esse método é legítimo, mas raramente adotado e é conhecido como um handshake de abertura simultânea.
Com essa conexão, tanto um cliente como um servidor enviam um pacote SYN entre si ao mesmo tempo. Em seguida, ambos os lados enviam pacotes de ACK entre si em resposta. Essa variante não convencional do handshake de TCP não é Practiced muito no mundo real. A RFC aceita essa variação como uma maneira legítima de iniciar uma conexão TCP. Ao executar uma Evasão de handshake de divisão de TCP, o atacante usa o conceito de um handshake de abertura simultânea. O atacante é o servidor que procura obter acesso a uma rede.
Basicamente, um cliente envia um pacote de SYN a um servidor, pretendendo concluir um handshake de três vias normal. Mas, em vez de concluir o handshake de três vias do cliente, um servidor malicioso começa respondendo como se estivesse executando uma conexão aberta simultaneamente. O servidor, em seguida, inicia seu próprio handshake de três vias na outra direção (do servidor para o cliente). Um IPS tradicional se confundiu em analisar esse comportamento como a iniciação de um handshake de três vias novo. Para que o atacante possa obter controle sobre o cliente.
Detecção de plataforma de segurança de rede para evasão de handshake de divisão de TCP
Além do handshake de TCP regular, as latas de plataforma de segurança de rede detectam um handshake dividido e qualquer ataque que ocorra através dessa conexão.
Fragmentação de IP
O tamanho da MTU de um link determina se há necessidade de fragmentar um datagrama em unidades menores ou não. Se a MTU permitida pelo link for menor do que o tamanho original do datagrama, o IP usará a fragmentação para que os pacotes possam ser formados para passar pelo link. Um atacante pode fragmentar deliberadamente um pacote IP para que o pacote IP seja distribuído em vários fragmentos.
Um atacante pode explorar esse recurso para escapar de um dispositivo de segurança de rede. Eles podem usar uma ferramenta evasão para fragmentar os pacotes de ataque originais. Em seguida, eles podem usar uma das seguintes técnicas para enviar fragmentos:
- Todos os fragmentos são enviados no:
- Pedido correto (aumentando os valores para o deslocamento de Defrag)
- A ordem inversa (reduzindo os valores para o deslocamento de Defrag)
- A ordem apropriada, exceto o primeiro fragmento enviado por último
- A ordem apropriada, exceto o último fragmento que é enviado primeiro
- Os fragmentos são embaralhados e enviados fora de ordem
Suponha que malware contenha ataques em seu datagrama de IP. Ele é fragmentado conforme mostrado acima. Um IPS tradicional não pode remontar fragmentos para detectar o ataque. Ele examina o tráfego como quadros separados e permite que um ataque se descorra.
Detecção de plataforma de segurança de rede para evasão de fragmentação de IP
A plataforma de segurança de rede pode remontar a cadeia de caracteres maliciosa e detectar o ataque.
Fragmentação de IP com o Chaff
Como na fragmentação de IP, um atacante usa uma ferramenta evasão para fragmentar o datagrama IP original que contém os pacotes de ataque. Depois de fragmentar o pacote, o atacante intercalará os pacotes do Chaff com os fragmentos.
Um pacote Chaff é um pacote inválido, a pilha de destino é ignorada, com base em determinadas verificações mencionadas abaixo. O Chaff pode conter qualquer uma das seguintes anomalias, devido à qual ela é ignorada.
- Soma de verificação incorreta e, por isso, ela é descartada pela pilha de destino.
- Um pequeno TTL por meio do qual ele expira antes de atingir o destino.
- Um campo de opções inválido devido ao qual ele é Descartado pela pilha de destino.
Detecção de plataforma de segurança de rede para fragmentação de IP com o Chaff evasão
No momento da remontagem, todos os campos de cabeçalho IP são examinados para conter conteúdo válido antes que a carga seja usada para detecção. Se for suspeitar que um pacote seja Chaff, ele será descartado e a carga inválida transportada por ele será ignorada.
Teste da eficácia da plataforma de segurança de rede em relação às técnicas de evasão avançadas
Você pode usar uma ferramenta de teste de técnica de evasão avançada para testar a eficácia de McAfee Network Security Platform contra técnicas avançadas de evasão. Neste artigo, mostramos esse teste usanda McAfee (Stonesoft) Evader.
IMPORTANTE: O ambiente de teste usado para esse teste é semelhante ao usado durante os testes de NSS. McAfee Network Security Platform obtido 100% de detecção durante os testes do NSS Labs.
Você deve usar as seguintes versões de software e conjunto de assinaturas:
- Sensor:
- Série M: 8.1.3.52 ou versões posteriores
- Série NS: 8.1.5.59 ou versões posteriores
- Manager: 8.1.7.5 ou versões posteriores
- Conjunto de assinaturas: 8.7.46.3 ou versões posteriores
- Evader: 2013_4_594 ou posterior
Você deve configurar o Sensor para usar a política completa com auditoria ou um clone desta política. Para otimizar o número de alertas, você recebe e minimiza o número de alertas de baixa gravidade:
- Entre no seu Manager.
Clique Policy,, IntrusionPrevention, Políticas do IPS.
- Selecione o Política de tudo, inclusiva e com auditoria ou uma clonagem não modificada e clique em Exibir/editar.
- Na janela de edição de política exibida, clique no botão Critical cabeçalho da coluna para classificar por gravidade.
- A partir da parte superior da lista, use a tecla Shift e a tecla de seta para baixo para selecionar todos os ataques categorizados 0 (Informações) e 1 (Baixo).
- Clique com o botão direito do mouse na lista e clique em Desativar. Todos os ataques selecionados devem desativar o símbolo X.
- Agora, procure os ataques listados abaixo e ative apenas esses ataques:
0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00010300 – TCP: Small Window Packets Detected 0x40011400 – TCP: Illegal Packet Missing SYN, ACK, or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
- Clique Salvar para concluir a configuração.
Para obter detalhes sobre como ativar essa política, consulte o guia de administração do NSP IPS para sua versão.
OBSERVAÇÃO: Você poderá ver uma diferença menor nos resultados quando for executada por um longo período. Essa diferença ocorre porque a ferramenta Evader pode gerar ataques usando conjuntos aleatórios de técnicas evasãos.
McAfee sugere que você use essa ferramenta para comparar o desempenho relativo de vários produtos e executar o teste várias vezes para cada produto. Essa comparação possibilita a compreensão da capacidade de cada produto ser testada, para detectar e bloquear ataques mascarados com essas técnicas
- Use o guia do usuário da McAfee (Stonesoft) para instalar e configurar o ambiente de teste do Evader.
- Após a distribuição da plataforma de segurança de rede, verifique se você fez as seguintes configurações no Manager antes de usar Evader:
- Clique PolicyExperientes Configurações de TCP. Definir Violação de fluxo de TCP Para NEGA.
Definir essa configuração garante que as violações de fluxo de TCP sejam descartadas.
- Clique PolicyExperientes Configurações de TCP.
Definir Ação de descartar inicialização a frio para ser solto.
- Clique Interfaces IPS,
, Proteção Criar, Inspeção avançada de tráfego,
AtivarInspect MS RPC/SMB fragments for malicious payload .
- Ao executar o
conficker teste, vá para a Manager e configure a ação de resposta como bloqueia. Definir umaTCP RST resposta dos endereços IP de origem e de destino para os seguintes ataques:0x47602f00 – DCERPC: Suspicious DCERPC Call 0x4021c500 – HTTP: phpBB Viewtopic.php Remote Command Execution 0x4023a400 – HTTP: Possible IPS evasive with Apache HTTP Server 0x40018e00 – IP: Options Validation Vulnerability 0x00010a00 – IPv4: Malformed Options Evasion Attempt Detected 0x40709d00 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (High) 0x4070d200 – NETBIOS-SS: Microsoft Server Service Remote Code ExecutionVulnerability (Info) 0x4070d000 – NETBIOS-SS: Potential DCERPC Big Endian Evasion 0x4070d100 – NETBIOS-SS: Potential TCP Segmentation Evasion 0x4070cf00 – NETBIOS-SS: Potential TCP URG Pointer Evasion 0x4070ca00 – NETBIOS-SS: Suspicious SRVSVC Call 0x00012f00 – SMB: NB Chaff Detected 0x00013000 – SMB: SMB Chaff Packet Detected 0x00012e00 – SMB: SMB Payload Suspicious pad bytes 0x40011400 – TCP: Illegal Packet Missing SYN, ACK or RST fields 0x40011500 – TCP: Anomalous Urgent Flag Set without ACK 0x00010300 – TCP: Small window packets detected 0x00009e00 – TCP: 3-Way Handshake PAWS Fail DoS
Para saber mais sobre as políticas do IPS na plataforma de segurança de rede, consulte o Guia de administração do IPS.
- Clique PolicyExperientes Configurações de TCP. Definir Violação de fluxo de TCP Para NEGA.
Os atacantes se tornaram mais adeptos de ataques de script. Os atacantes agora iniciam Evasions complexos que são cortados por várias camadas da pilha de protocolos. Eles incorporam Evasions em mais de uma camada, em mais de um protocolo. Em uma situação em que um cliente envia uma solicitação HTTP GET para um servidor não autorizado, o servidor responde com uma página maliciosa. Na camada 7, o invasor pode ter páginas da Web em partes antes de as servir para o cliente. Além disso, no nível de TCP, o atacante pode segmentar dados de TCP. No nível do IP, o atacante pode fragmentar o tráfego antes de o servir ao cliente. O atacante pode, além disso, adicionar Chaff entre dados de IP. Um IPS tradicional perde algumas ou todas essas técnicas de evasão e permite que o tráfego mal-intencionado passe. Mas, conforme mostrado nos exemplos acima, a plataforma de segurança de rede é equipada para proteger a sua rede de algumas das campanhas de ataque mais traiçoeiros. Esta nota de aplicativo discute apenas alguns exemplos de Evasions que o Network Security Platform suporta. O NSP é compatível com várias outras combinações de técnicas avançadas do evasão que ocorrem em cada camada da pilha de protocolos, na qual várias explorações podem ser aplicadas.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: