Suchen

Tarn-Techniken für Hacker-Attacken, Teil 2 Advanced Evasion Techniques – Entdeckung, Analyse und Risiken

Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Selbst modernste Sicherheitssysteme erkennen nicht alle Angriffsmethoden auf Netzwerke. Ein Beispiel dafür sind Advanced Evasion Techniques (AETs). Ihr besonderes Merkmal sind ihre fast unendlichen Kombinationsmöglichkeiten, um Angriffe zu tarnen. Damit unterscheiden sie sich deutlich von bisher bekannten Evasion-Techniken.

Firma zum Thema

Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.
Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.
( Archiv: Vogel Business Media )

Der erste Teil unserer Beitrags-Reihe hat gezeigt, dass Evasions als Tarnung von Schadsoftware bereits länger bekannt sind. Bislang beschränkten sie sich auf einige wenige Techniken, vor denen die meisten Sicherheitssysteme ausreichenden Schutz bieten. 2010 hat der finnische Sicherheitsanbieter Stonesoft in seinem Testlabor jedoch eine neue Art von Evasions entdeckt: die so genannten Advanced Evasion Techniques (AETs).

Verschiedene Tests an eigenen Stonesoft-Produkten zeigten dabei, dass es sehr viel mehr Wege gibt, ein Intrusion Prevention System (IPS) oder eine Firewall mithilfe von Evasion-Techniken zu umgehen oder sogar zum Absturz zu bringen. Dabei setzten die Forscher spezielle Low-Level-Tools einschließlich TCP/IP-Stapel ein.

Die Besonderheit der Protokollpakete: Sie sind so modifiziert, dass sie ein sehr viel flexibleres Sendeverhalten aufweisen, als es die klassischen Standard-Betriebssysteme vorschreiben. Allein durch diese Abweichung von den IP-Regeln entdeckten die Forscher noch sehr viel mehr Evasions als bislang bekannt.

Erforschung der Advanced Evasion Techniques

Tests mit aktuellen IPS- und ähnlichen Geräten verschiedener Hersteller bestätigten, dass diese neuartigen Evasions erfolgreich Sicherheitssysteme umgehen können. Kurz nach der Entdeckung informierte Stonesoft die finnische Sicherheitsbehörde CERT-FI über AETs und stellte ihr Muster von AET-Datenpaketen, so genannte Traffic Packets, zur Verfügung.

Aufgabe der Behörde ist es, IT-Sicherheitsanbieter weltweit über neue Bedrohungen zu informieren, damit diese rechtzeitig Schutzmechanismen entwickeln können. Nach Prüfung der verschiedenen Muster veröffentlichte das CERT-FI eine entsprechende Sicherheitswarnung.

Auch die Test-Spezialisten der ICSA Labs bestätigten als weitere unabhängige Instanz, dass die meisten Sicherheitssysteme durch AETs verschleierte Attacken nicht aufspüren können und diese eine ernste Gefahr für Netzwerke darstellen.

Inzwischen nutzt Stonesoft einen eigens entwickelten Testgenerator, den Predator 3.0, um die verschiedenen AET-Methoden weiter zu erforschen. Mit mehr als 2 hoch 180 unterschiedlichen Attacken (das entspricht einer 1 mit 54 Nullen), die das Tool ausführen kann, scheinen die Kombinationsmöglichkeiten der neuen Evasion-Techniken fast unbegrenzt.

Inhalt

  • Seite 1: Erforschung der Advanced Evasion Techniques
  • Seite 2: AET-Kombination auf verschiedenen Ebenen
  • Seite 3: Gefahren für große Netzwerke und die Cloud

AET-Kombination auf verschiedenen Ebenen

AETs basieren meistens auf dem Prinzip der Desynchronisierung von Überwachungssystemen, die den Datenverkehr aus der Perspektive des Endhosts betrachten. Ein Datenpaket wird dabei auf verschiedene Weise so verändert, dass das Sicherheitssystem den enthaltenen Schadcode nicht mehr erkennt und ins Netzwerk lässt.

Der Angreifer hinterlässt dabei keinerlei Spuren, die den Administrator auf einen möglichen Angriff hinweisen könnten – auch nicht in den Log-Dateien. Sobald das Endsystem den Datenstrom interpretiert, wird die Attacke freigesetzt.

In einem IPS ist zum Beispiel die Signatur des Wortes „Angriff” hinterlegt und als Schadcode gekennzeichnet. Erkennt das Sicherheitssystem dieses Wort im Datenverkehr, unterbricht es die Verbindung zum Netzwerk. Ist das Wort allerdings geteilt in zwei verschiedenen Datenpaketen – also „Ang” in dem einen und „riff” in dem anderen – sieht das IPS den Schadcode nicht mehr und lässt die Fragmente passieren. Der Host setzt das Wort allerdings bei der Interpretation wieder zusammen, der „Angriff“ ist vollständig am Zielsystem angekommen.

Im Gegensatz zu klassischen Evasions verbinden AETs diverse Methoden, um einen Schadcode zu verschleiern. Gleichzeitig nutzen sie dabei verschiedene Ebenen im Netzwerkverkehr, sowohl die IP- und Transportebene (TCP, UDP) als auch Anwendungsschicht-Protokolle einschließlich SMB (Server Message Block) und RPC (Remote Procedure Call).

So kombiniert eine AET beispielsweise IPv4-Fragmente aus 8 Byte-Datenpaketen mit 2 Byte-TCP-Segmenten und SMB-Protokollen mit 1 Byte Daten pro Nachricht. Oder jedes IPv4-Paket beinhaltet zufällige Datenfragmente und wird doppelt gesendet. Gleichzeitig enthält das IPv4-Auswahlfeld eine aufsteigende Zahl, also zum Beispiel 0x00000001 im ersten Paket, 0x00000002 im zweiten etc.

Ein IPS erkennt eine reine Datenfragmentierung mit 8 Byte eventuell noch als Evasion. In Kombination mit den zusätzlichen Tarnmethoden auf den verschiedenen Ebenen des Netzwerkverkehrs wird der Schadcode jedoch unsichtbar.

Versagen klassischer Sicherheitsmechanismen

Die Variationsmöglichkeiten von AETs sind so zahlreich, dass sie bereits nach einer leichten Veränderung, beispielsweise der Byte-Anzahl, für IPS nicht mehr erkennbar sind. Das wird an einem einfachen Rechenbeispiel deutlich: Bei nur 6 bekannten Evasion-Techniken auf IP-Ebene gäbe es bereits 64 direkte Kombinationsmöglichkeiten. Bei 16 verschiedenen Evasions auf TCP-Basis wären es bereits 65.536. Kombiniert ergeben sich mehr als eine Million verschiedene Varianten.

Aufgrund dieser Dynamik greifen die klassischen Sicherheitsmechanismen wie Protokollanalyse und Signaturerkennung nicht mehr. Fingerprint-Updates können nicht alle möglichen Kombinationen abdecken. Der Patch-Schutz wird quasi ausgehebelt, sodass der Schadcode ins Netzwerk gelangt. Zudem ist bei den meisten IPS die Inspektion des Datenverkehrs ausschließlich auf die IP- beziehungsweise Transportebene beschränkt. Damit können sie AETs nicht erkennen, die sich beispielsweise auf der Ebene der Anwendungsprotokolle bewegen.

AETs können auch Firewalls täuschen. Dabei wird ein Datenpaket mit Schadcode so verändert, dass es alle Kriterien der hinterlegten Sicherheitsregeln erfüllt. Die hier genannten Beispiele für AETs sind recht einfach. Es gibt jedoch weitaus komplexere Kombinationen, die Sicherheitsmechanismen sogar zum Absturz bringen können.

Inhalt

  • Seite 1: Erforschung der Advanced Evasion Techniques
  • Seite 2: AET-Kombination auf verschiedenen Ebenen
  • Seite 3: Gefahren für große Netzwerke und die Cloud

Gefahren für große Netzwerke und die Cloud

Angriffe mit AETs sind aufwändig und erfordern umfassendes Wissen. Bei erfolgreichem Einsatz bieten sie Cyber-Kriminellen jedoch eine Art Generalschlüssel für den Zugriff auf jedes beliebige angreifbare System. Denn ist der Angreifer unbemerkt ins Netzwerk eingedrungen, kann er sich meist ungestört nach einer Sicherheitslücke umsehen.

Das ist beispielsweise für Industrienetzwerke gefährlich. Aufgrund veralteter Netzwerktopologien sind hier häufig Server im Einsatz, die nur ein oder zweimal im Jahr gepatched werden können. Damit benötigen Hacker erst gar keinen neuen Wurm wie Stuxnet. Eine, eventuell bereits seit Wochen bekannte, Sicherheitslücke reicht aus. Den dafür benötigten Schadcode schleust eine AET unbemerkt am IPS vorbei, welches den Server zwischen den Wartungsfenstern eigentlich schützen soll.

Aber auch Netzwerke von großen Unternehmen und Organisationen sind von der neuen Bedrohung gefährdet. Denn in Behörden, Banken, militärischen Einrichtungen oder Konzernen liegen genau die Daten, die professionelle Hacker begehren. Entsprechend lohnt sich für gut organisierte Cyberkriminelle der aufwändige Einsatz einer AET. Vor allem ist der Aufwand häufig geringer, als einen neuen Virus zu entwickeln.

Advanced Evasion Techniques stellen zudem für Cloud-Anbieter ein neues Risiko dar. Cloud Computing-Umgebungen sind ein besonders attraktives Ziel für Hacker-Angriffe mit AETs, da sich mit einer erfolgreichen Attacke die Daten von zahlreichen Unternehmen ausspähen oder entwenden lassen.

Momentan möglicher Schutz

Mithilfe von AETs können Hacker derzeit etwa 99 Prozent der klassischen Netzwerk-Sicherheitssysteme umgehen. Noch gibt es keine langfristige Lösung auf dem Markt, die vollständig vor der dynamischen Angriffsmethode schützt.

Nichtsdestotrotz können Unternehmen vorbeugende Maßnahmen gegen AET-Attacken ergreifen. Wie, das zeigt der dritte und letzte Teil dieser Beitrags-Reihe.

Inhalt

  • Seite 1: Erforschung der Advanced Evasion Techniques
  • Seite 2: AET-Kombination auf verschiedenen Ebenen
  • Seite 3: Gefahren für große Netzwerke und die Cloud

Hermann Klein ist als Country Manager DACH bei Stonesoft tätig.

(ID:2052666)