Tarn-Techniken für Hacker-Attacken, Teil 2

Advanced Evasion Techniques – Entdeckung, Analyse und Risiken

25.08.2011 | Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.
Oft reicht schon eine Fragmentierung von Datenpaketen, um ein Intrusion Prevention System zu täuschen.

AET-Kombination auf verschiedenen Ebenen

AETs basieren meistens auf dem Prinzip der Desynchronisierung von Überwachungssystemen, die den Datenverkehr aus der Perspektive des Endhosts betrachten. Ein Datenpaket wird dabei auf verschiedene Weise so verändert, dass das Sicherheitssystem den enthaltenen Schadcode nicht mehr erkennt und ins Netzwerk lässt.

Der Angreifer hinterlässt dabei keinerlei Spuren, die den Administrator auf einen möglichen Angriff hinweisen könnten – auch nicht in den Log-Dateien. Sobald das Endsystem den Datenstrom interpretiert, wird die Attacke freigesetzt.

In einem IPS ist zum Beispiel die Signatur des Wortes „Angriff” hinterlegt und als Schadcode gekennzeichnet. Erkennt das Sicherheitssystem dieses Wort im Datenverkehr, unterbricht es die Verbindung zum Netzwerk. Ist das Wort allerdings geteilt in zwei verschiedenen Datenpaketen – also „Ang” in dem einen und „riff” in dem anderen – sieht das IPS den Schadcode nicht mehr und lässt die Fragmente passieren. Der Host setzt das Wort allerdings bei der Interpretation wieder zusammen, der „Angriff“ ist vollständig am Zielsystem angekommen.

Im Gegensatz zu klassischen Evasions verbinden AETs diverse Methoden, um einen Schadcode zu verschleiern. Gleichzeitig nutzen sie dabei verschiedene Ebenen im Netzwerkverkehr, sowohl die IP- und Transportebene (TCP, UDP) als auch Anwendungsschicht-Protokolle einschließlich SMB (Server Message Block) und RPC (Remote Procedure Call).

So kombiniert eine AET beispielsweise IPv4-Fragmente aus 8 Byte-Datenpaketen mit 2 Byte-TCP-Segmenten und SMB-Protokollen mit 1 Byte Daten pro Nachricht. Oder jedes IPv4-Paket beinhaltet zufällige Datenfragmente und wird doppelt gesendet. Gleichzeitig enthält das IPv4-Auswahlfeld eine aufsteigende Zahl, also zum Beispiel 0x00000001 im ersten Paket, 0x00000002 im zweiten etc.

Ein IPS erkennt eine reine Datenfragmentierung mit 8 Byte eventuell noch als Evasion. In Kombination mit den zusätzlichen Tarnmethoden auf den verschiedenen Ebenen des Netzwerkverkehrs wird der Schadcode jedoch unsichtbar.

Versagen klassischer Sicherheitsmechanismen

Die Variationsmöglichkeiten von AETs sind so zahlreich, dass sie bereits nach einer leichten Veränderung, beispielsweise der Byte-Anzahl, für IPS nicht mehr erkennbar sind. Das wird an einem einfachen Rechenbeispiel deutlich: Bei nur 6 bekannten Evasion-Techniken auf IP-Ebene gäbe es bereits 64 direkte Kombinationsmöglichkeiten. Bei 16 verschiedenen Evasions auf TCP-Basis wären es bereits 65.536. Kombiniert ergeben sich mehr als eine Million verschiedene Varianten.

Aufgrund dieser Dynamik greifen die klassischen Sicherheitsmechanismen wie Protokollanalyse und Signaturerkennung nicht mehr. Fingerprint-Updates können nicht alle möglichen Kombinationen abdecken. Der Patch-Schutz wird quasi ausgehebelt, sodass der Schadcode ins Netzwerk gelangt. Zudem ist bei den meisten IPS die Inspektion des Datenverkehrs ausschließlich auf die IP- beziehungsweise Transportebene beschränkt. Damit können sie AETs nicht erkennen, die sich beispielsweise auf der Ebene der Anwendungsprotokolle bewegen.

AETs können auch Firewalls täuschen. Dabei wird ein Datenpaket mit Schadcode so verändert, dass es alle Kriterien der hinterlegten Sicherheitsregeln erfüllt. Die hier genannten Beispiele für AETs sind recht einfach. Es gibt jedoch weitaus komplexere Kombinationen, die Sicherheitsmechanismen sogar zum Absturz bringen können.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2052666 / Intrusion-Detection und -Prevention)