7种常见的入侵检测系统规避技术
入侵检测系统(IDS)能帮助企业网络安全团队监控系统和负载中的可疑活动。然而,攻击者仍能利用规避技术渗透网络并长时间不被察觉。
二十多年来,IDS一直是安全领域的必备工具,它能帮助识别异常活动并向管理员发出潜在问题警报。其后续发展,包括自动操作(如阻止可疑网络流量、拦截恶意数据包、将警报和数据发送到SIEM或类似的集中式平台),巩固了它在安全武器库中的地位。
然而,恶意黑客已经设计出多种方法来逃避IDS。让我们来探讨安全团队应该了解的七种常见IDS规避技术,以及如何缓解它们。
1. 利用受信任的应用程序和基础设施
终端用户倾向于隐式信任他们所使用的应用程序以及运行这些应用程序的基础设施。攻击者已经开发出技术(例如文件无恶意软件)来伪装成受信任的应用程序和服务。文件无恶意软件缺乏可执行文件,因此难以检测。其设计目的是在用户不知情的情况下接管和控制受信任的应用程序和服务。然后,该恶意软件会安装键盘记录器或木马程序,并试图窃取登录凭据。由于并非所有服务和应用程序都对通信进行加密,攻击者可以轻松插入恶意载荷以窃取关键业务数据。
2. 混淆处理
网络攻击者设计恶意软件以混淆网络安全工具,并在不被察觉的情况下渗透网络。这被称为混淆处理。例如,组织使用加密混淆来保护数据不被恶意行为者读取。攻击者则利用混淆使文件的数据或签名变得难以理解、删除识别性元数据、插入无用代码或更改文件名。经过混淆处理后,恶意软件的代码对IDS或静态分析工具可能显得无害,从而能在扫描中通过而不被揭露为恶意。
2019年的SolarWinds供应链攻击就涉及了混淆处理。攻击者利用它绕过安全措施,在SolarWinds Orion平台中植入后门。混淆技术包括伪造活动、使用后删除程序以及修改审计日志。
3. IP数据包分片
数据包分片涉及将数据包分割成小于网络最大传输单元(MTU)的较小片段,并在目标位置重新组装。虽然这本身不一定是一个恶意过程,但攻击者会恶意利用数据包分片。例如,攻击者知道IDS通常不会扫描每个网络数据包片段,因为这会耗费大量的计算和处理能力。因此,攻击者发送一系列分片数据包,希望IDS不会扫描它们,从而使恶意代码完全绕过安全系统。
4. 源路由
源路由允许发送方指定数据包通过网络的路由路径,而不是让路由器决定其路径。攻击者恶意使用源路由,通过指定一个绕过IDS的特定目的地路径来实现规避。
5. 源端口操纵
IDS和防火墙可能会被欺骗,误以为文件正在前往某个特定(且通常是良性的)端口,而不是其真实的目标端口。这被称为源端口操纵,通常涉及一个被外部流量阻塞的端口。例如,攻击者可以使其恶意软件的目的地看起来是80端口(主要用于HTTP),而其实际的目标端口通常不对外部流量开放。
6. IP地址欺骗
IP地址欺骗涉及攻击者更改其恶意数据包的包头,使其看起来来自合法主机。目标系统的IDS和防火墙认为数据包来自合法来源,因此不会过滤包含欺骗性IP地址的数据包。
7. 创建特制数据包
攻击者可以使用数据包构造工具创建自己定制的数据包以规避IDS。攻击者将数据附加到载荷中,或使用Unicode(用于表示各种语言的特殊字符)。恶意软件的模式经过伪装以欺骗基于签名的IDS,使其看起来合法,从而使恶意载荷能够到达目标服务器。
如何缓解入侵检测系统规避行为
组织应采取以下步骤来预防和检测IDS规避技术:
- 定期补丁管理确保IDS软件和固件保持最新。
- 集中式管理系统使IDS能够实时向安全团队发出问题警报,从而实现更快速的安全响应并减少误报。
- 零信任框架将网络划分为不同的安全区域,每个区域都有其自己的安全控制和机制(如MFA)。这种多层策略有助于减少漏洞和攻击面。
- 先进技术,如下一代防火墙,使安全团队能够创建更定制化和复杂的数据包过滤规则。
- 保持警惕并报告可疑的网络活动。
Ravi Das 是一家IT服务提供商的技术工程撰稿人。他也是其私人事务所ML Tech, Inc.的网络安全顾问,并持有ISC2颁发的网络安全认证(CC)。