Suchen

Neue Tarnkappen zur Umgehung von IDS und IPS 163 neue Advanced Evasion Techniques in Honeypot von Stonesoft

| Redakteur: Stephan Augsten

Cyber-Kriminelle entwickeln offenbar vermehrt neue Advanced-Evasion-Techniken, mit deren Hilfe sie Intrusion-Detection- und -Prevention-Systeme umgehen können. In den vergangenen Monaten hat Stonesoft nach eigenen Angaben 163 der nahezu beliebig kombinierbaren Verschleierungsmethoden entdeckt.

Firma zum Thema

163 zusätzliche Advanced Evasions eröffnen neue Wege, um die Einbruchserkennung von Netzwerken zu umgehen.
163 zusätzliche Advanced Evasions eröffnen neue Wege, um die Einbruchserkennung von Netzwerken zu umgehen.
( Archiv: Vogel Business Media )

Advanced Evasion Techniques (AETs) dienen dazu, bestimmte Angriffscode-Sequenzen zu tarnen. So ist es zum Beispiel möglich, ein bösartiges Skript in mehrere kleine Pakete aufzusplitten, um sie anschließend verschlüsselt, gepackt und/oder in veränderter Reihenfolge ins Netzwerk zu senden. Dort werden sie wieder zu einem funktionsfähigen Ganzen zusammengesetzt.

Kaum ein Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) hat Schwierigkeiten damit, eine dieser AETs zu identifizieren. Doch aufgrund ihrer wachsenden Vielfalt und die Möglichkeit, sie beinahe wahllos gemeinsam zu nutzen, werden die Tarn-Mechanismen zu einem zunehmenden Problem.

Vor rund einem Jahr hatte der finnische Security-Spezialist Stonesoft vor den ersten 23 Advanced Evasion Techniques gewarnt, bis Februar 2011 kamen weitere 120 hinzu. Durch den Betrieb eines Honeypot gingen dem IDS/IPS-Hersteller bis Ende vergangener Woche noch einmal 163 Tarn-Techniken ins Netz.

Bei 54 dieser neuen AETs handelt es sich um reine Basis-Techniken, die übrigen 109 bauen auf bereits kombinierten Verschleierungsmethoden auf. Verschiedenste Protokolle – darunter IPv4, IPv6, TCP and HTTP – lassen sich laut Stonesoft mithilfe der AETs zum Übermitteln scheinbar ungefährlicher Datenpakete ausnutzen.

Bereits nach den ersten AET-Warnungen wurde Stonesoft vorgeworfen, unangemessene Panik zu verbeiten. Sofern die AETs aber tatsächlich in einem Honeypot aufgefangen wurden, dann ist zumindest klar, dass die Hacker zumindest mit den Mechanismen experimentieren. Auf Security-Insider.de findet sich übrigens auch eine Stonesoft-Artikelserie zu den Advanced Evasion Techniques, die kommende Woche im dritten Teil ihren Abschluss finden wird.

(ID:2053166)