Neue Tarnkappen zur Umgehung von IDS und IPS

163 neue Advanced Evasion Techniques in Honeypot von Stonesoft

14.10.2011 | Redakteur: Stephan Augsten

163 zusätzliche Advanced Evasions eröffnen neue Wege, um die Einbruchserkennung von Netzwerken zu umgehen.
163 zusätzliche Advanced Evasions eröffnen neue Wege, um die Einbruchserkennung von Netzwerken zu umgehen.

Cyber-Kriminelle entwickeln offenbar vermehrt neue Advanced-Evasion-Techniken, mit deren Hilfe sie Intrusion-Detection- und -Prevention-Systeme umgehen können. In den vergangenen Monaten hat Stonesoft nach eigenen Angaben 163 der nahezu beliebig kombinierbaren Verschleierungsmethoden entdeckt.

Advanced Evasion Techniques (AETs) dienen dazu, bestimmte Angriffscode-Sequenzen zu tarnen. So ist es zum Beispiel möglich, ein bösartiges Skript in mehrere kleine Pakete aufzusplitten, um sie anschließend verschlüsselt, gepackt und/oder in veränderter Reihenfolge ins Netzwerk zu senden. Dort werden sie wieder zu einem funktionsfähigen Ganzen zusammengesetzt.

Kaum ein Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) hat Schwierigkeiten damit, eine dieser AETs zu identifizieren. Doch aufgrund ihrer wachsenden Vielfalt und die Möglichkeit, sie beinahe wahllos gemeinsam zu nutzen, werden die Tarn-Mechanismen zu einem zunehmenden Problem.

Vor rund einem Jahr hatte der finnische Security-Spezialist Stonesoft vor den ersten 23 Advanced Evasion Techniques gewarnt, bis Februar 2011 kamen weitere 120 hinzu. Durch den Betrieb eines Honeypot gingen dem IDS/IPS-Hersteller bis Ende vergangener Woche noch einmal 163 Tarn-Techniken ins Netz.

Bei 54 dieser neuen AETs handelt es sich um reine Basis-Techniken, die übrigen 109 bauen auf bereits kombinierten Verschleierungsmethoden auf. Verschiedenste Protokolle – darunter IPv4, IPv6, TCP and HTTP – lassen sich laut Stonesoft mithilfe der AETs zum Übermitteln scheinbar ungefährlicher Datenpakete ausnutzen.

Bereits nach den ersten AET-Warnungen wurde Stonesoft vorgeworfen, unangemessene Panik zu verbeiten. Sofern die AETs aber tatsächlich in einem Honeypot aufgefangen wurden, dann ist zumindest klar, dass die Hacker zumindest mit den Mechanismen experimentieren. Auf Security-Insider.de findet sich übrigens auch eine Stonesoft-Artikelserie zu den Advanced Evasion Techniques, die kommende Woche im dritten Teil ihren Abschluss finden wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2053166 / Intrusion-Detection und -Prevention)