Suchen

Tarn-Techniken für Hacker-Attacken, Teil 1 Advanced Evasion Techniques – Geschichte und Morphologie

| Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Intrusion-Prevention-Systeme (IPS) schützen Netzwerke und Systeme vor Angriffen. Seit den Anfängen der IPS-Technologie versuchen Hacker, diese zu umgehen – beispielsweise mit sogenannten Evasion-Techniken. Diese bilden eine Art Tarnmantel, um beispielsweise Schadsoftware unbemerkt ins Netzwerk einzuschleusen.

Firma zum Thema

Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.
Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.
( Archiv: Vogel Business Media )

Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme kommen gut mit ihnen zurecht und können sie entsprechend abwehren.

Mit der Entdeckung der Advanced Evasion Techniques (AETs) Ende 2010 zeigte sich jedoch, dass IT-Security-Anbieter diese Angriffsmethode lange Zeit unterschätzt haben. Ende der Neunziger Jahre beschäftigte sich die Forschung erstmals intensiver mit dem Thema Evasions.

So stellten Timothy N. Newsham und Thomas H. Ptacek 1998 im Rahmen ihrer Forschungsarbeit „Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection“ verschiedene Techniken vor, um Sicherheitssysteme zu umgehen.

Was eine „Evasion“ ausmacht

Evasion-Techniken nutzen die Arbeitsweise von IDS (Intrusion Detection System) beziehungsweise IPS, um deren Sicherheitsmechanismen auszutricksen. So kann ein End-System Datenpakete empfangen und interpretieren, die das IDS fälschlicherweise nicht richtig versteht und folglich auch nicht davor warnt.

Diese Voraussetzung lässt sich auch für einen Angriff mit Evasions ausnutzen: In diesem Fall werden wichtige Informationen in Paketen verborgen, die sich dem prüfenden Blick des IDS entziehen. Auf diese Weise lassen sich ganze Datensessions in Paketen direkt am IDS vorbeischleusen.

Mithilfe der Pakete zwingt der Angreifer das IDS, einen anderen Datenstrom zu sehen als das End-System. Dadurch erkennt das Sicherheitssystem genau die Informationen nicht, die auf einen Angriff hinweisen. Dabei schickt ein Hacker zum Beispiel eine HTTP-Anfrage in mehreren Datenpaketen, die das IDS irrtümlicherweise nicht richtig interpretieren kann. Dadurch kann die Attacke entscheidende Teile des Datenstroms für das IDS quasi ausblenden.

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

(ID:2052488)