1、常见、冷门协议均可利用;
2、数据加密办法多变,可深度定制、魔改;
3、各种工具、脚本繁多,随意马虎得到;
上述特点导致暗藏隧道千变万化,令防御方防不胜防,因此受到攻击队的青睐。
暗藏隧道有哪些?暗藏隧道一样平常指利用标准通信协议,改变其协议字段或载荷部分成为“暗藏的传输通道”。
暗藏隧道又分加密和不加密两种,目前转向加密的隧道越来越多。常见的暗藏隧道分为三小类:
1、网络层隧道,以ICMP隧道为主;ICMP协议在日常的通信运用中数据格式比较大略、变革较少,攻击者开拓也有一定的技能门槛,以是目前运用不是特殊广泛,有少量的APT组织和黑客工具在利用。
2、传输层隧道,以TCP/UDP隧道为主,还有少量的SCTP隧道;TCP/UDP隧道目前运用已经比较广泛,未来一定会成为APT攻击和高水平黑客的常用通信办法之一;之以是TCP/UDP隧道受到攻击者的青睐,是由于这类隧道运用变革比较繁芜,可以较好地隐蔽在大量新型网络运用的流量之中。
3、运用层隧道,以DNS/HTTP隧道为主。DNS隧道目前有一部分APT组织和黑客工具一贯在利用,但因其检测难度相对不高,以是运用比例相对较低;HTTP隧道是某些黑客组织乃至是顶级APT组织常用的一种暗藏传输办法,因HTTP协议的运用广泛、且变革繁芜,以是在大量HTTP流量中如何精准确认是隧道,是比较难的一件事情。
哪些工具会建立暗藏隧道?大量的公开黑客工具均支持建立暗藏隧道,攻击者也可以自行开拓支持暗藏隧道的攻击工具。常见支持暗藏隧道的黑客工具包括:
ICMP暗藏隧道:icmpTunnel、pingtunnel、PTunnel、icmpsh等;
TCP/UDP暗藏隧道:kcp-tunnel、frp、MicroBackdoor、nc等;
HTTP暗藏隧道:隧道reGeorg、reduh、tunna、phpsocks等;
DNS暗藏隧道:dns2cat、iodine、CobaltStrike、Denis等。
暗藏隧道怎么检测和戒备?暗藏隧道种类和实现办法千变万化,其检测和防御是个体系化工程。概述起来有如下三点:
1、减少协议暴露面。原则上任何协议都可以被利用成为暗藏隧道,为减少风险,首先应将正常业务无关的通信协议进行策略优化,减少暴露面,降落被利用的风险。
2、针对主要协议的检测。常见的暗藏隧道利用的协议包括:ICMP、TCP、UDP、DNS、HTTP等,每一类协议下的暗藏隧道检测办法均不相同,下面将各种隧道的检测要点进行概述:
(1)ICMP暗藏隧道:ICMP暗藏隧道检测紧张采取多流统计剖析技能,包含信息透露率、会话频率、会话斜率、载荷帧构造剖析四个部分,通过多流统计剖析判断是否为ICMP隧道流量。
(2)TCP/UDP隧道:TCP/UDP隧道是利用TCP/UDP协议头部格式,在载荷部分增加加密载荷数据;检测要点首先是针对载荷数据基于信息熵、卡方值、频次等进行统计判断载荷是否加密,然后对载荷部分进行帧格式检测和特色检测以判断是否为TCP/UDP暗藏隧道。
(3)DNS暗藏隧道:针对特色比较明显的DNS暗藏隧道威胁流量可以从非常Record、高下行数据等方面进行检测;针对高等的DNS暗藏隧道威胁,除了检测单流的特色以外,还要提取多流特色,对可用于检测的元数据及多流特色进行统计,并形成通联图,在此根本上再通过规则或机器学习的办法进行检测。
(4)HTTP暗藏隧道:HTTP暗藏隧道包括利用HTTP头暗藏隧道和HTTP载荷暗藏隧道。HTTP头暗藏隧道常日利用HTTP协议某些字段进行传输,如URL、Cookie、UA等;HTTP载荷暗藏隧道是指利用HTTP载荷或载荷的一部分进行隧道数据传输。如直接传输加密后的数据,或将数据嵌入到某个页面中等。HTTP暗藏隧道检测难度比较大,须要结合单流、多流层面,利用规则、行为、人工智能等多个方法综合进行判断。
3、业务排查。在实际业务场景,暗藏隧道不一定是威胁事宜,有部分即时通信软件和正常业务也会通过暗藏隧道传输;在检测识别为暗藏隧道后,还须要对业务进行排查,是否为正常业务。
不雅观成瞰云全面支持暗藏隧道检测不雅观成瞰云加密威胁智能检测系统,已全面支持各种暗藏隧道检测:
1、DNS暗藏隧道检测:
2、ICMP暗藏隧道检测:
3、HTTP暗藏隧道检测:
4、TCP暗藏隧道检测:
不雅观成瞰云(ENS)
不雅观成瞰云-加密威胁智能检测系统(ENS)是不雅观成科技将人工智能与安全检测技能相结合的创新型安全产品,可针对恶意软件、黑客工具、造孽运用等加密威胁进行有效检测。该产品为不雅观成科技自主研发、具有完全的知识产权,办理了恶意加密流量检测难题,补充了市场和技能空缺。
