网络攻击者和网络防御者之间不断的军备竞赛已经达到了前所未有的复杂程度。当防御者采用新的检测和响应工具时,攻击者开发各种技术和方法来绕过这些机制。欺骗是游戏双方最有效的武器之一。
欺骗技术传统上一直在攻击者的武器库中最喜欢的方法之一。惊喜和不确定性提供了先天优势攻击过后卫,谁也无法预知攻击者的下一步行动。而令人惊奇的,然而,破碎的对称性也可以通过后卫利用。
移动目标防御(MTD)的目的是通过改变攻击面,在攻击方创造不对称的不确定性。美国国土安全部(DHS)MTD定义正如“为了增加攻击者的不确定性和表面的复杂性,控制跨多个系统维度的变更的概念,减少了他们的机会窗口,增加了他们探测和攻击的成本。”
这种观点来自于绝对安全不是一个可实现的目标的理解;攻击者和防御者的成本和努力是不对称的。因此,有必要实施一种新的范式来改变这种对抗性游戏中的成本和努力。
活动目标攻击
多年来,许多技术已经发展到使网络攻击经常性的修改。下表列出了比较常见的运动目标的攻击技术,其次是各的解释:
攻击者所使用的欺骗技巧
| 技术 | 欺骗的方法 |
|---|---|
| 多态性 | 改变恶意软件签名 |
| 变质/自修改 | 在飞行中改变恶意软件代码 |
| 困惑 | 隐藏代码和逻辑 |
| Self-encryption | 更改的恶意软件签名和隐藏恶意代码和数据 |
| 反-VM /沙箱 | 在法医环境改变行为逃避取证分析 |
| Anti-Debugging | 通过改变取证环境中的行为来逃避自动/手动调查 |
| 加密漏洞 | 通过改变参数与签名逃避自动/手动调查 |
多态性是恶意软件作者通常使用,以逃避反病毒检测。通过加密恶意软件的有效载荷,包括代码和数据,攻击者获得了两个主要优势。首先,通过使用多个加密密钥,他们可以很容易地生成同一恶意软件的不同实例。显然,这使得基于签名的反恶意软件工具无效,因为新实例有一个新的未知静态签名。其次,恶意软件可以绕过更深层次的静态分析,因为它的代码和数据是加密的,所以不会暴露在扫描仪中。使用变质作用技术,恶意软件的作者检测进一步在每次执行改变内存的代码复杂化。
而多态性与变质瞄准逃避自动文件和存储器扫描,困惑对于代码的手动检查也是有效的。通过混淆,恶意软件的作者创建了对人类分析师来说极其难以理解的代码。这是通过创建包含模糊字符串、虚拟代码和复杂函数调用图的有效载荷来实现的,这些有效载荷可以根据恶意软件的每个实例随机重新生成。
沙箱和虚拟机进行恶意软件分析的必要工具。必然地,现代恶意软件可以使用anti-VM和anti-sandbox机制,如果他们的虚拟化沙箱环境中运行检测。如果检测到虚拟机或沙箱,恶意软件会改变其行为,并避免任何恶意活动。一旦执行对实际系统中,被标记为良性后,恶意软件开始其恶意活动。以相同的方式,恶意软件可以使用反调试消除调试和运行时分析的技术。
加密和有针对性的攻击已经被用来通过网页提供攻击的一部分(“漏洞利用工具包”)。为了避免被发现,URL模式,主机服务器,加密密钥和文件名正在上每交付改变。这些漏洞也可以通过限制访问的次数,以从相同的IP的利用逃避蜜罐。
最后,一些类型的攻击开始一些真正的用户交互(例如,网页滚动)后,方可开采阶段。这样,攻击者确保了真机,而不是自动的动态分析执行。
这些有效的欺骗方法使得防御机制多年来效率低下,并导致攻击者的优势。防守者无休止地追逐攻击者,投入大量的资源和努力,仅仅是为了发现和防止以前的攻击。因此,传统的防御者和攻击者之间的对称被打破了。进攻者知道他要攻击谁,什么时候,在哪里,用什么武器,而防守者处于持续的不确定状态。
移动目标防御
有MTD安全的三个主要类别:(1)网络级的MTD,(2)主机级别MTD,和(3)应用程序级的MTD。
网络级MTD包括多年来开发的机制。IP跳频,例如,用于更改主机的IP地址,从而增加了网络的复杂性被攻击者所看到。透明度是保持真实主机的IP地址和虚拟随机IP地址,每个主机关联来实现。
有些技术的目的是在网络映射和侦察阶段欺骗攻击者。这些技术包括使用随机端口号、额外开放或关闭端口、假监听主机和混淆端口流量。其他技术的目的是向攻击者提供关于主机和操作系统类型和版本的虚假信息,例如,生成防止操作系统识别的随机网络服务响应。
主机级MTD包括改变主机和操作系统级的资源,命名和配置,以欺骗攻击。
应用MTD涉及以欺骗攻击者不断变化的应用环境。例如,地址空间布局随机化(ASLR),这是由微软推出,涉及随机安排进程的地址空间的内存布局,使其更难对手来执行它的shellcode。
其它技术包括改变应用程序的类型和版本和不同主机之间旋转它们,或者使用不同的设置和编程语言编译源代码,在每个编译生成不同的代码。表2列出了在不同的类别的MTD中使用的常用技术。
由维护者使用欺骗技术
| 信息系统的一部分 | 欺骗的方法 |
|---|---|
| 网络 | 路线变化;随机地址,名称和端口 |
| 防火墙/ id | 政策变化 |
| 主办 | 更改主机地址,更换主机的图像。 |
| OS | 变更版本和发布;改变主机ID;改变内存地址,结构,资源名称 |
“移动目标防御”范式承诺打破攻击者和防御者之间的对称性。现在进攻者也必须在不确定性和不可预测性下运作,而以前这些是防守者单独关心的问题。
尽管网络级的MTD是一个有趣的概念,随机IP地址,网络拓扑结构和配置是不够的。攻击者的最终目的地是位于网络,防火墙和路由器后面的主机,服务器和端点。操作系统和应用程序的零日攻击,恶意软件和高级持续性威胁(APT)有利可图的目标,因此,他们充当了攻击者后卫游戏的主要游乐场。
诚然,MTD模式仍处于起步阶段,但它是安全的预测,它是最好的专注于应用程序和操作系统。
一些新技术正在服用的MTD范式到一个新的水平,通过创建应用程序和操作系统的环境改变,其方式未知的攻击。因此,在规划和部署进攻步骤中使用攻击者的基本前提是由无关。每个函数调用,跳转到地址或资源访问需要潜在的故障,与攻击的全面论述一起。在这些条件下,攻击的成本急剧上升,而其成功的概率急剧下降,使攻击实际上和经济上不太可行。
在不久的将来,我们将见证一个收养MTD的捍卫者和罪犯之间的看似无穷无尽的网络战。那是否使这场战争的意外的结束?它仍然为时过早,但MTD站出来作为一个新的因素,在这个古老的对抗性游戏势力的新规则。
莫迪凯古丽是Morphisec的首席科学官,在创新运动目标防御。他还是内盖夫的本古里安大学网络安全实验室部门的安全研究员、项目经理和讲师。