Tarn-Techniken für Hacker-Attacken, Teil 2

Advanced Evasion Techniques – Entdeckung, Analyse und Risiken

25.08.2011 | Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.
Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.

Selbst modernste Sicherheitssysteme erkennen nicht alle Angriffsmethoden auf Netzwerke. Ein Beispiel dafür sind Advanced Evasion Techniques (AETs). Ihr besonderes Merkmal sind ihre fast unendlichen Kombinationsmöglichkeiten, um Angriffe zu tarnen. Damit unterscheiden sie sich deutlich von bisher bekannten Evasion-Techniken.

Der erste Teil unserer Beitrags-Reihe hat gezeigt, dass Evasions als Tarnung von Schadsoftware bereits länger bekannt sind. Bislang beschränkten sie sich auf einige wenige Techniken, vor denen die meisten Sicherheitssysteme ausreichenden Schutz bieten. 2010 hat der finnische Sicherheitsanbieter Stonesoft in seinem Testlabor jedoch eine neue Art von Evasions entdeckt: die so genannten Advanced Evasion Techniques (AETs).

Verschiedene Tests an eigenen Stonesoft-Produkten zeigten dabei, dass es sehr viel mehr Wege gibt, ein Intrusion Prevention System (IPS) oder eine Firewall mithilfe von Evasion-Techniken zu umgehen oder sogar zum Absturz zu bringen. Dabei setzten die Forscher spezielle Low-Level-Tools einschließlich TCP/IP-Stapel ein.

Die Besonderheit der Protokollpakete: Sie sind so modifiziert, dass sie ein sehr viel flexibleres Sendeverhalten aufweisen, als es die klassischen Standard-Betriebssysteme vorschreiben. Allein durch diese Abweichung von den IP-Regeln entdeckten die Forscher noch sehr viel mehr Evasions als bislang bekannt.

Erforschung der Advanced Evasion Techniques

Tests mit aktuellen IPS- und ähnlichen Geräten verschiedener Hersteller bestätigten, dass diese neuartigen Evasions erfolgreich Sicherheitssysteme umgehen können. Kurz nach der Entdeckung informierte Stonesoft die finnische Sicherheitsbehörde CERT-FI über AETs und stellte ihr Muster von AET-Datenpaketen, so genannte Traffic Packets, zur Verfügung.

Aufgabe der Behörde ist es, IT-Sicherheitsanbieter weltweit über neue Bedrohungen zu informieren, damit diese rechtzeitig Schutzmechanismen entwickeln können. Nach Prüfung der verschiedenen Muster veröffentlichte das CERT-FI eine entsprechende Sicherheitswarnung.

Auch die Test-Spezialisten der ICSA Labs bestätigten als weitere unabhängige Instanz, dass die meisten Sicherheitssysteme durch AETs verschleierte Attacken nicht aufspüren können und diese eine ernste Gefahr für Netzwerke darstellen.

Inzwischen nutzt Stonesoft einen eigens entwickelten Testgenerator, den Predator 3.0, um die verschiedenen AET-Methoden weiter zu erforschen. Mit mehr als 2 hoch 180 unterschiedlichen Attacken (das entspricht einer 1 mit 54 Nullen), die das Tool ausführen kann, scheinen die Kombinationsmöglichkeiten der neuen Evasion-Techniken fast unbegrenzt.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052666 / Intrusion-Detection und -Prevention)