Tarn-Techniken für Hacker-Attacken, Teil 1

Advanced Evasion Techniques – Geschichte und Morphologie

03.08.2011 | Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.
Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.

Intrusion-Prevention-Systeme (IPS) schützen Netzwerke und Systeme vor Angriffen. Seit den Anfängen der IPS-Technologie versuchen Hacker, diese zu umgehen – beispielsweise mit sogenannten Evasion-Techniken. Diese bilden eine Art Tarnmantel, um beispielsweise Schadsoftware unbemerkt ins Netzwerk einzuschleusen.

Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme kommen gut mit ihnen zurecht und können sie entsprechend abwehren.

Mit der Entdeckung der Advanced Evasion Techniques (AETs) Ende 2010 zeigte sich jedoch, dass IT-Security-Anbieter diese Angriffsmethode lange Zeit unterschätzt haben. Ende der Neunziger Jahre beschäftigte sich die Forschung erstmals intensiver mit dem Thema Evasions.

So stellten Timothy N. Newsham und Thomas H. Ptacek 1998 im Rahmen ihrer Forschungsarbeit „Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection“ verschiedene Techniken vor, um Sicherheitssysteme zu umgehen.

Was eine „Evasion“ ausmacht

Evasion-Techniken nutzen die Arbeitsweise von IDS (Intrusion Detection System) beziehungsweise IPS, um deren Sicherheitsmechanismen auszutricksen. So kann ein End-System Datenpakete empfangen und interpretieren, die das IDS fälschlicherweise nicht richtig versteht und folglich auch nicht davor warnt.

Diese Voraussetzung lässt sich auch für einen Angriff mit Evasions ausnutzen: In diesem Fall werden wichtige Informationen in Paketen verborgen, die sich dem prüfenden Blick des IDS entziehen. Auf diese Weise lassen sich ganze Datensessions in Paketen direkt am IDS vorbeischleusen.

Mithilfe der Pakete zwingt der Angreifer das IDS, einen anderen Datenstrom zu sehen als das End-System. Dadurch erkennt das Sicherheitssystem genau die Informationen nicht, die auf einen Angriff hinweisen. Dabei schickt ein Hacker zum Beispiel eine HTTP-Anfrage in mehreren Datenpaketen, die das IDS irrtümlicherweise nicht richtig interpretieren kann. Dadurch kann die Attacke entscheidende Teile des Datenstroms für das IDS quasi ausblenden.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052488 / Intrusion-Detection und -Prevention)