Suchen

Tarn-Techniken für Hacker-Attacken, Teil 1

Advanced Evasion Techniques – Geschichte und Morphologie

Seite: 2/3

Arbeitsweise von Evasions

Die Protokollsuite TCP/IP, die im Internet und in den meisten Netzwerken zum Einsatz kommt, spielt für Angriffe mit Evasion-Techniken eine besondere Rolle. Die Suite basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und schreibt einem System vor, ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen zu müssen.

Damit darf es nur formal korrekte Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Das bedeutet: Auch wenn Datenpakete verschiedene Formen aufweisen, muss der empfangende Host sie jedoch alle auf dieselbe Weise interpretieren. Dieser liberale Ansatz sollte ursprünglich dazu dienen, die Interoperabilität zwischen Systemen zu gewährleisten.

Die tolerante Interpretationsweise ebnet allerdings auch den Evasion-Techniken den Weg ins Netzwerk. Denn die verschiedenen Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch verarbeitet das Zielsystem eventuell etwas völlig anderes als das Sicherheitssystem erkennt oder vermutet. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern.

Wenn ein IPS-System beispielsweise vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder die möglichen Neuzusammensetzungen nicht bestimmen kann, fehlt ihm der ursprüngliche Zusammenhang des Datenpakets. Die Folge: Das System schreibt den Datenstrom neu, bevor es diesen an den Zielhost weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als das Endsystem.

Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasions können Schadsoftware deshalb als normale und sichere Datenpakete erscheinen lassen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.

Beispiel IP-Fragementierung

Eine von Newsham und Ptacek beschriebene, bekannte Evasion-Technik ist die IP-Fragmentierung. Nach der Regel des RFC 791 soll sie eigentlich die Interoperabilität zwischen Systemen sowie den reibungslosen Umgang mit unterschiedlichen Netzwerktopologien sicherstellen (Postel, 1981).

Bei IP-Fragmentierungs-Evasions dagegen verschleiert der Angreifer seinen Schadcode beispielsweise mithilfe von ungeordneten Datenfragmenten. In einer anderen Variante überflutet er das IPS mit einer Masse an Fragmenten.

Die Autoren warnen: „Ein System, das mit ungeordneten Fragmenten nicht umgehen kann, ist stark gefährdet, denn ein Angreifer kann die Ordnung der fragmentierten Datenströme absichtlich durcheinander bringen, um das System zu umgehen“ (Newsham & Ptacek, 1998).

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

(ID:2052488)