随着近年来攻防技术的不断提升,网络上越来越多的攻击者利用隧道技术隐匿攻击特征,通过绕过安全防护设备入侵企业内网,对企业安全形成新威胁、新挑战,隐蔽隧道种类和实现方式千变万化,隧道技术核心就是绕过防火墙的端口屏蔽策略,其中分为加密攻击流量和不加密攻击流量两种,目前,转向加密攻击流量的隧道越来越多,加密攻击流量已逐渐成为网络攻击的重要环节,而企业防护中一般会使用传统的规则匹配及基于算法的防护拦截措施,而这些方式无法及时发现且有效的拦截隐匿加密流量的隧道攻击行为,而识别隧道恶意加密流量已成为安全防护的重点,企业在防护中需要探索新的防护技术来提升安全防护能力,下面本章节中会讲解一些常见的检测分析和防护手段。
1. ICMP隧道检测与防护
在真实环境中,ICMP协议经常会被用来检测网络连通状态,而防火墙是会默认允许ICMP协议通信,因此越来越多的攻击者会利用ICMP协议进行非法通信,通过ICMP协议搭建隐蔽隧道加密恶意流量,从而对企业内网进行攻击。
ICMP隧道技术的核心是改变操作系统默认填充的Data,替换成我们自己的数据,但是正常的ping数据包和利用ICMP隧道发送的异常ping数据包是不同的,因此可以检测分析PING数据包的数量、数据包中payload大小、数据包中payload与请求包是否一致、ICMP数据包的type是否为0和8等这些特征来区分正常和异常数据包进而做出合理的防护措施。还有一种比较粗暴的方式是禁用ping,此操作可能会影响用户体验,但是防护效果甚佳。
2.DNS隧道流量检测与防护
DNS隧道是一种隐蔽隧道,通过将数据或命令封装到DNS协议进行数据、命令等传输的隧道,其利用原理为防火墙针对DNS报文不会进行拦截阻断,而且目前的杀毒软件、入侵检测防护等安全策略很少对DNS报文进行有效的监控管理。因此将数据流量隐匿在DNS协议中进行传输是一种不错的手段。
目前主要是载荷分析和流量监测两种方法。载荷分析是根据正常的DNS域名满足 zipf定律,而DNS隧道的域名遵循的是随机分布这一原则去检测主机名,将超过52个字符的DNS请求作为识别DNS隧道的特征,流量监测则是检测网络中的DNS流量变化情况,通过检测单位时间内DNS报文流速率来检测是否存在DNS隧道。
因此可以根据以下几点分析判断是否为非法入侵。
1)默认的DNSCAT查询中是否包含了DNSCAT字符串,这个可以作为防火墙和入侵检测的特征。
2)检查出站DNS查询的长度,监视来自特定主机的DNS查询的频率,以及检查特定的不常见查询类型。
3)记录DNS查询日志,通过频率、长度、类型监控异常日志。
3. HTTP隧道流量检测与防护
HTTP隧道是一种颇具安全威胁的数据传输手段。它能以木马、病毒等身份存在于宿主机上,通过HTTP协议与远程主机进行数据交互,以此窃取敏感数据或破坏宿主机文件等。
HTTP隧道核心技术是将HTTP正常流量作为隧道流量在通信过程中嵌入隧道流量,实现对目标主机的恶意攻击行为,HTTP隐蔽隧道可以利用HTTP头隐蔽隧道和HTTP载荷隐蔽隧道进行检测分析,在HTTP隧道中,HTTP头隐蔽隧道会使用协议中某些参数传输,例如 URL、Cookie、UA等。HTTP载荷隐蔽隧道是指利用载荷或载荷的一部分进行隧道数据传输,如直接传输加密后的数据,或将数据嵌入到某个页面中等。对于HTTP隧道检测,需要我们结合多层次、多个方法综合进行判断。
隧道本身具有一定的隐秘性,但是它们共同特点是都需要向服务器放置脚本文件,如今的杀软基本都能检测出来,因此可以定期对WEB站点目录进行扫描。
4. RDP隧道流量检测与防护
远程桌面服务是微软Windows系统提供的用于远程管理的服务,特别是远程桌面协议(RDP),该协议也为远程攻击者提供了同样的便利。当攻击者拿下Windows系统据点,并获得充足的登录凭据后,他们可能会从利用后门直接使用RDP会话进行远程访问。
RDP隧道攻击原理为内网隧道和端口转发利用不受防火墙保护的端口与防火墙保护的远程服务器建立连接。该连接可以用作传输通道来通过防火墙发送数据,或作为连通到防火墙内的本地侦听服务隧道,使位于防火墙外的远程服务器可以访问内网主机。
根据攻击原理可分别从主机和网络方面进行预防和检测,在主机层次上的防护,主要分析注册表项和登录事件日志来判断是否被入侵;在不需要远程连接的操作系统禁止RDP服务;设置安全策略,拒绝通过远程来访问桌面服务;开启防火墙检测,禁止入站RDP连接。
而在网络层次上,设置防火墙规则,通过查看防火墙规则来确定可能被用于端口转发的区域,从而阻止外部RDP的通信,对通信的网络流量进行内容检查。
我正在参与2024腾讯技术创作特训营第五期有奖征文,快来和我瓜分大奖!