更新时间:2022-02-23 11:30
拟态逃逸( Mimic Escape ,ME)是拟态防御中的专有名词,指攻击者穿透拟态防御边界达成期望攻击目的之事件。
拟态括号(Mimic Brackets,MB)既是拟态防御的I【P】O功能边界又是攻击行为的攻击表面(Attacks Surface,AS),拟态括号的主要元素及其相互之间的关系如图册1所示,其中蓝色部件属于括号的本体元素,灰色框中的是功能等价、性能相当的异构冗余或可重构执行体,分路器所在位置既是输入/输出界面又是攻击表面。理论上,拟态括号内的所有软硬件资源都可能存在可资利用的攻击资源。
在拟态防御原理中,允许拟态括号内的物理或逻辑的执行体存在内生安全问题,即存在可资利用的攻击资源。如图1所示:
拟态括号本体(蓝色部件),即输入分配与代理、输出代理与裁决、反馈控制器部件也允许存在未知的漏洞,如图2所示。
理论上,拟态括号内的执行体都是物理上独立的,只要是来自攻击表面的差模形态攻击结果能反映到执行体的输出端,都会被多模裁决器发现并被屏蔽,同时会激活反馈控制器,指令当前运行环境改变资源配置或运行状态,这一过程不仅具有迭代性质而且使用单向联系机制,除非裁决器不再发现多模执行体存在差模形态的输出响应,或者出现差模输出的频度低于某一给定阈值。因此,基于拟态括号内某个执行体的蓄意攻击既不可能影响其他执行体,也无法攻击裁决器中存在的漏洞,更不可能利用反馈控制器或者输入分配与代理部件中的漏洞。换言之,从攻击表面无法利用输出代理/裁决器和反馈控制器中的漏洞,而输入分配和代理部件往往被设计成不处理输入激励中的任何指令或可执行代码。于是,攻击者不仅难以用差模形态攻击当前执行体集合K实现拟态逃逸,而且因为攻击不可达性几乎无法利用拟态括号本体组件中的攻击资源。
拟态逃逸通常只有二种可能,其一是在裁决器的设计中植入后门改变裁决策略使裁决器条件失能,或者配合攻击可控的执行体,实现协同攻击,但均要以通过第三方拟态基准功能测试和病毒木马扫描为前提。实际上,输出代理和裁决器的功能相对简单且多为开源或多厂家COTS级的白盒产品,而裁决策略和裁决器是由最终用户自行定义或选择的;其二是攻击者了解并能稳定掌控所有执行体中的攻击资源,以待机方式分别建立起攻击链,通过约定好的输入激励序列实现一致性无感逃逸。需要指出的是,按照拟态防御体制即使出现无感共模或有感共模逃逸,也会被拟态防御的后向迭代验证机制所瓦解,即攻击链难以稳定维持。
事实上,第一种逃逸还需要社会工程学的伎俩支持,第二种逃逸虽然理论上不可避免但实际发生概率极低,且攻击成果几乎没有可利用价值。