远程安全漏洞利用的检测.pdfVIP

远程安全漏洞利用的检测 瘦肉丁@weibo 本文介绍基于网络的远程安全漏洞利用的检测，主要涉及基于规则（Signature ）的检测技术。 远程安全漏洞利用的基本检测方法 对远程基于网络的漏洞利用的检测，从作用原理上大致有两种：  基于误用  基于异常 目前主流系统都或多或少地结合了两种方式。 基于误用 已知攻击特征知识库的专家系统。在具备漏洞相关知识的情况下，由专家定义出相应的检测 规则，系统会对符合这些预定义规则的数据流量产生告警。 优点：准确，确定性的结果预期，可以攻击进行中就执行阻断。 缺点：必须先知道攻击的细节，不能先于漏洞或攻击 基于异常 基于正常基线的智能系统。通过自学习对正常的状态进行建模，发现严重偏离正常基线的状 态对此产生告警，通常关注的异常有流量异常、协议异常及行为异常等。 优点：不需要知道漏洞的存在即可工作，有可能先于漏洞或攻击。 缺点：准确度不如基于误用的方式，大多数时候不能即时发现和阻断攻击。 可以看到基于误用与基于异常的方法在优缺点几乎是互补的，所以一般都会结合起来使用。 基于规则的检测方法 这里主要介绍基于误用的检测的主要方式：基于规则的方法。根据目前的已有实践，细分一 下，又可以有如下三种：  基于漏洞特征  基于Exploit 特征  基于攻击特征 基于漏洞特征 在对漏洞技术细节或攻击手段充分了解的基础上（需要理解到什么程度，下面有例子会说到）， 对某些触发漏洞或形成攻击的必要条件施加检查，而其中部分特征必须有别于正常的状态。 优点：  基于对漏洞的知识，如果分析足够快的话，可能先于Exploit 完成相关检测规则的添加， 在利用漏洞的真正攻击出现之时就能发现和阻断  由于匹配的是触发漏洞的必要条件，Exploit 也必定会包含相应的特征，因此可以对付各 种变形的Exploit，实现一条漏洞特征规则顶一百条Exploit 规则的效果  在充分了解细节的基础上可以实现得相当准确，最少的误报，很难逃避 缺点：  需要了解漏洞细节，所以只能针对已知漏洞  必须准确地理解漏洞的成因，对于某些复杂漏洞需要很大的分析工作量  必须对漏洞的细节全面了解，如果分析得不透彻，所得到的特征还是可能导致漏报误报  检测需要有深入的解码字段拆解操作支持，比较耗费资源且容易出错 实例：  Oracle TNS Listener SERVICE_NAME 远程缓冲区溢出漏洞（ CVE-2002-0965 ） 这个一个典型的缓冲区溢出漏洞，TNS 协议处理实现上对SERVICE_NAME 这个字段值缺 乏充分的检查过滤，一个超长的串就可能导致溢出缓冲区。检测时的条件可以很简单， 解析出TNS 协议分离出SERVICE_NAME 字段的值，检查其长度，超过一定值即可认为异 常。  Microsoft Windows DCOM RPC 接口长主机名远程缓冲区溢出漏洞（MS03-026 ） （CVE-2003-0352 ） Windows RPC DCOM 长主机名的缓冲区溢出漏洞，冲击波蠕虫的攻击传播利用的就是这 个漏洞，两条红色下划线之间的就是主机名字串所在位置，正常情况下这个字段不长， 服务端会用一个栈缓冲区存储它，但在拷贝时没有检查长度，导致一个超长的串触发溢 出执行任意指令。检测上，需要解码 RPC 协议获取主机名，检查其长度，实现基于漏 洞特征的检测。  CGI 类漏洞  远程文件包含 一般的远程文件包含攻击会涉及到在 URL 的某个参数值指向外部的服务器文件， 通常走 HTTP 协议，所以我们基本上可以看到利用此类漏洞的攻击的特征是某个 URL 参数值字串是以“http://”开头的，通过检查这个特征可以发现部分恶意的行 为。  目录遍历 常见的目录遍历攻击或探测尝试几乎必然会使用目录遍历串，通过匹配这些特征可 以发现可疑的攻击尝试，如果再配合一些敏感系统文件（比如/etc/passwd ）的检查， 则基本上可以确认攻击。  远程命令注入 如果在URL 参数值中发现的常见Shell 命令转义符 （;| ），结合其他具体漏洞相关