HTTP回避検知シグネチャへの理解

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Understanding HTTP Evasion Detection Signatures
https://live.paloaltonetworks.com/t5/Threat-Vulnerability-Articles/Understanding-HTTP-Evasion-Detect...

 

セキュリティ アプライアンスによる検出を回避するためにネットワーク上で活用される方法の1つとして、受信側のユーザーエージェントがデータを解釈できるようにしたうえで、トラフィックを検査するアプライアンスがデータを解釈できないようにHTTP通信を難読化し隠蔽する手法があります。これは一般に「回避」戦術と呼ばれます。

 

異なるHTTPクライアントの実装はそれぞれで動作が異なり、また多くの場合、標準規格(RFC)に準拠しておらず、独自の実装を使用するデコーダやスキャニング エンジンをバイパスするために利用されます。 PAN-OSはこれを次の2つの方法で処理します。まず、デコーダがトラフィックをhttpとしてデコードできない場合、アプリケーションは「unknown-tcp」に設定されます。または他のアプリケーションとして認識される場合もありえます。 さらに、HTTP回避に対応するために、以下のような脆弱性シグネチャを使用して保護します。


• Suspicious Abnormal HTTP Response Found (38304, 38358, 38307, 38476, 38305, 38310, 38841, 38742, 38302, 38870, 38767, 38840, 39041, 38824, 38920, 38303, 38839, 38741)


• HTTP Non RFC-Compliant Response Found (32880)


• Suspicious HTTP Evasion Found (39004, 39022, 38306, 38919, 38635)


• HTTP Request Pipeline Evasion Found (36767)


• HTTP Request Line Separator Evasion (36398, 36422)


• HTTP response data URI scheme evasion attempt (33127)


• HTTP various charset encoding html response evasion (33125)


• HTTP utf-7 charset encoding html response evasion (33126)


 

標準準拠していないサーバーやWebアプリケーションは、不正な形ではあるが悪意のない応答をするときがあり、これに対応するために、脆弱性プロファイルの例外処理を利用して、細かく調整することができます。デコーダが標準コンプライアンスをシステム全体に対して実施していたら、これは可能ではなかったかもしれません。 セキュリティ全体として、ネットワーク管理者は、悪意のあるコンテンツが許可されるリスクと、正当なコンテンツが拒否される可能性のバランスを保つ必要があり、かつセキュリティ ベンダーは広まっている回避テクニックに対してシグネチャを提供する必要があります。

 

パロアルトネットワークスの脅威研究チームは、これらの脅威を常に監視しております。また、大切なお客様から得られた貴重な詳細情報を元に、未対応の回避手法に対応しています。

 

著者: rcole