什麼是隱匿隧道攻擊?
在實際的網絡中,通常會通過各種邊界設備、軟/硬件防火牆甚至入侵檢測系統來檢查對外連接情況,如果發現異樣,就會對通信進行阻斷。如果發起方將數據包按照邊界設備所允許的數據包類型或端口進行封裝,然後穿過邊界設備與對方進行通信,當封裝的數據包到達目的地時,將數據包還原,並將還原後的數據包發送到相應服務器上。這種技術稱為隧道技術。
在黑客實際入侵過程中,攻擊者在開始與被控制主機通信時,通過利用DNS、ICMP等合法協議來構建隱匿隧道來掩護其傳遞的非法信息,這類攻擊稱為隱匿隧道攻擊。
隱匿隧道攻擊引發的典型安全事件
Google極光攻擊
Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名僱員點擊即時消息中的一條惡意鏈接,該惡意鏈接的網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出,進而執行FTP下載程序,攻擊者通過與受害者主機建立SSL隱匿隧道鏈接,持續監聽並最終獲得了該僱員訪問Google服務器的帳號密碼等信息,從而引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月,並且造成各種系統的數據被竊取。
美國E公司數據泄露事件
E公司是是美國三大個人信用服務中介機構之一,攻擊者通過利用隱匿隧道攻擊規避了其強訪問控制設備、防火牆、入侵檢測系統等邊界防護措施,導致超過1.47億個人徵信記錄被暴露。
隱匿隧道攻擊特點
隱匿隧道攻擊最典型的特點在於其隱蔽性。為避免非法通信行為被邊界設備攔截,攻擊者通常會將非法信息進行封裝,表面上看似是正常業務流量,實則“危機四伏”。由於大部分邊界設備的流量過濾機制依賴於端口和協議,網絡攻擊檢測機制依賴於流量特徵,從而無法對這類精心構造的非法信息進行攔截。因此,攻擊者可通過與被入侵主機建立隱匿隧道通信連接,達到傳遞非法信息的目的,如病毒投放、信息竊取、信息篡改、遠程控制、利用被入侵主機挖礦等。
常見的隱匿隧道攻擊類型
隨着目前安全防護措施的不斷完善,使用HTTP通信時被阻斷的幾率不斷增大,攻擊者開始選擇更為安全隱蔽的隧道通信技術,如DNS、ICMP、各種協議over HTTP隧道等。由於DNS、ICMP等協議是大部分主機所必須使用的協議,因此基於DNS協議、ICMP協議構建隱匿隧道通信的方式逐漸成為隱匿隧道攻擊的主流技術。
■ DNS隱匿隧道攻擊
DNS隧道是將其他協議的內容封裝在DNS協議中,然後以DNS請求和響應包完成傳輸數據(通信)的技術。當前網絡世界中的DNS是一項必不可少的服務,所以防火牆和入侵檢測設備出於可用性和用户友好的考慮將很難做到完全過濾掉DNS流量,因此,攻擊者可以利用它實現諸如遠程控制,文件傳輸等操作,眾多研究表明DNS Tunneling在殭屍網絡和APT攻擊中扮演着至關重要的角色。
DNS隱匿隧道構建
■ ICMP隱匿隧道攻擊
ICMP隧道是指將TCP連接通過ICMP包進行隧道傳送的一種方法。由於數據是利用PING請求/回覆報文通過網絡層傳輸,因此並不需要指定服務或者端口。這種流量是無法被基於代理的防火牆檢測到的,因此這種方式可能繞過一些防火牆規則。
ICMP隱匿隧道構建
迪普科技解決方案
網絡安全威脅感知大數據平台高效檢測隱匿隧道攻擊
由於攻擊者將非法數據進行封裝,利用正常的協議構建隱匿隧道進行非法通信,攻擊特徵極不明顯,因此可輕易躲過現網中基於規則特徵檢測網絡攻擊的安全防護措施;而傳統的隱匿隧道攻擊檢測技術大多依賴於簡單的統計規則進行檢測,如統計請求頻率、判斷請求數據包大小等,依靠單一維度的檢測、分析機制,導致隱匿隧道攻擊檢測的誤報率非常高。
針對隱匿隧道攻擊,迪普科技安全算法團隊通過收集大量的不同協議的隱匿隧道流量樣本進行分析測算,構建出多種隱匿隧道攻擊檢測模型, 併成功應用到迪普科技網絡安全威脅感知大數據平台,如針對DNS隱匿隧道,通過匹配報文中所呈現出的域名信息、域名後綴信息、response應答信息,以及請求頻率、請求數據包大小等內容進行綜合評估分析;針對ICMP隱匿隧道攻擊,通過匹配數據包發送頻率、type值、應答信息、payload大小及內容等進行綜合分析。有效提升隱匿隧道攻擊檢測效率,隱匿隧道攻擊檢出率高達98%以上!
隱匿隧道攻擊高效檢出
隱匿隧道攻擊防範指南
■ 定期採用主流殺毒軟件進行查殺,對出現的未知軟件及時進行清除。
■ 對有關出站或入站DNS查詢的長度、類型或大小等建立規則。
■ 藉助網絡安全分析設備對用户和(或)系統行為進行分析,可自動發現異常情況,例如訪問新域時,尤其是訪問方法和頻率異常時。
■ 處於生產區的服務器主機在必要時禁止ICMP協議。