一些研究人員指出，最近發現的一類惡意軟件――高級躲避技術(AET)，這種惡意軟件可以悄悄地從多數入侵防御系統的眼皮底下溜過去，并且向機器釋放Sasser和Conficker等病毒，而且不會留下任何曾經侵入過機器的痕跡。

　　據芬蘭國家CERT(計算機應急響應小組)稱，許多國家的CERT已經向數十家IPS廠商發出了通知，向它們通報此類威脅的情況，使其能夠針對AET采取防范措施。IPS廠商Stonesoft公司最先發現了此類威脅并將其報告給了該中心。

　　CERT-FI的信息安全顧問Jussi Eeronen說，CERT-FI在發布該通知的過程中得到了其它多個CERT的協助。他說，通報的目的是敦促廠商升級其裝備，為預防并處理AET做好準備。

　　發現AET的IPS和其它安全設備廠商Stonesoft 指出，AET集合了多種已知的簡單躲避技術，IPS雖能將其個個擊破，但它們組合在一起后就會變成一種截然不同的怪獸，使IPS無法進行有效的防御。 Stonesoft公司高級解決方案設計師Mark Boltz說，AET本身并不會造成破壞，但它們讓惡意軟件具有了隱身能力，使之能夠直達被攻擊的系統。他表示，到目前為止，還沒有證據表明AET已經得到了廣泛的使用。

　　Boltz說，躲避技術在十多年前便已出現，而且多數入侵防御系統都能夠對其實施有效的防御，但同時使用多種此類技術形成的組合卻能夠繞過現有的IPS。他表示，將現有已知的躲避技術進行排列組合后，可以得到2180種可能的AET。如果AET同時使用兩種以上的躲避技術后，其可能的組合總數就會更大，而且還會有新的簡單躲避技術不斷被添加到這份清單中。

　　Boltz說，在Stonesoft的測試中，一系列AET被用于隱藏Conficker和Sasser蠕蟲，而且它們被發送給Gartner最近評出的最佳IPS系統進行測試。結果是，沒有任何一種入侵防御系統能夠發現這些AET。他表示，Stonesoft公司自己的StoneGate IPS可以監測到并阻止這些攻擊。

　　Stonesoft公司宣稱的成果已經得到ICSA實驗室的驗證，該實驗室也允許Stonesoft公司使用自己的工具從芬蘭通過一個VPN來運行攻擊測試。ICSA網絡IPS項目經理Jack Walsh說，攻擊必須通過ICSA位于賓西法尼亞州的入侵防御系統后才算成功。Walsh說，該工具生成的AET成功地躲避了IPS的監測，使Conficker蠕蟲抵達了未實施CVE-2008-4250漏洞補丁的Windows Server系統。之所以使用Conficker是因為它是一種眾所周知的蠕蟲，如果它沒有隱身，目前的IPS應當很容易將它識別出來。

　　所有接受測試的入侵防御系統(IPS)，包括Stonesoft公司自己的某個IPS版本，都未能成功阻止所有的AET。Walsh說，Stonesoft宣稱其最新版本可以監測到AET，但ICSA尚未對其進行過測試。

　　躲避技術新形態

　　Boltz表示，簡單躲避技術有很多中，其中之一便是IP片段。攻擊者會將含有惡意軟件的包分為許多片段，寄希望于IPS不會將這些數據包重新組合，因此也就無法監測到其中的惡意軟件并讓它們安然通過。今天，多數入侵防御系統中包含的引擎可以重組被拆成片段的包并且對其加以篩選。

　　Boltz指出，URL混淆也是一種簡單躲避技術，即對URL進行細微的修改，使該修改過的URL能夠通過IPS，但并不至于修改到目標機器無法使用的程度。目前的許多IPS都已經能夠應對此類躲避技術。

　　但是他說，如果將幾種這些技術組合在一起，就可以很容易地繞過IPS。Stonesoft已經遇到了一些可以列入此類別的新型簡單躲避技術。例如，通過使用自己設計的TCP/IP棧，Stonesoft公司的研究人員可以利用TCP時間加權狀態來通知接收端的機器在多長的時間內打開TCP端口，準備迎接后續的通信。通過連接至目標機器并立即關閉會話，該TCP/IP棧可以通過仍然打開的端口啟動一個新的會話并利用它來發送惡意軟件。由于IPS已經檢查了初期連接的正常握手和狀態信息，因此它會讓后續的流量通過。他說：“這是人們為了讓IPS運行速度更快而采取的一種捷徑方法?！?/FONT>