Suchen

Tarn-Techniken für Hacker-Attacken, Teil 1 Advanced Evasion Techniques – Geschichte und Morphologie

Autor / Redakteur: Hermann Klein, Stonesoft / Stephan Augsten

Intrusion-Prevention-Systeme (IPS) schützen Netzwerke und Systeme vor Angriffen. Seit den Anfängen der IPS-Technologie versuchen Hacker, diese zu umgehen – beispielsweise mit sogenannten Evasion-Techniken. Diese bilden eine Art Tarnmantel, um beispielsweise Schadsoftware unbemerkt ins Netzwerk einzuschleusen.

Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.
Evasion-Techniken helfen dem Hacker dabei, im Verborgenen zu bleiben.
( Archiv: Vogel Business Media )

Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme kommen gut mit ihnen zurecht und können sie entsprechend abwehren.

Mit der Entdeckung der Advanced Evasion Techniques (AETs) Ende 2010 zeigte sich jedoch, dass IT-Security-Anbieter diese Angriffsmethode lange Zeit unterschätzt haben. Ende der Neunziger Jahre beschäftigte sich die Forschung erstmals intensiver mit dem Thema Evasions.

So stellten Timothy N. Newsham und Thomas H. Ptacek 1998 im Rahmen ihrer Forschungsarbeit „Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection“ verschiedene Techniken vor, um Sicherheitssysteme zu umgehen.

Was eine „Evasion“ ausmacht

Evasion-Techniken nutzen die Arbeitsweise von IDS (Intrusion Detection System) beziehungsweise IPS, um deren Sicherheitsmechanismen auszutricksen. So kann ein End-System Datenpakete empfangen und interpretieren, die das IDS fälschlicherweise nicht richtig versteht und folglich auch nicht davor warnt.

Diese Voraussetzung lässt sich auch für einen Angriff mit Evasions ausnutzen: In diesem Fall werden wichtige Informationen in Paketen verborgen, die sich dem prüfenden Blick des IDS entziehen. Auf diese Weise lassen sich ganze Datensessions in Paketen direkt am IDS vorbeischleusen.

Mithilfe der Pakete zwingt der Angreifer das IDS, einen anderen Datenstrom zu sehen als das End-System. Dadurch erkennt das Sicherheitssystem genau die Informationen nicht, die auf einen Angriff hinweisen. Dabei schickt ein Hacker zum Beispiel eine HTTP-Anfrage in mehreren Datenpaketen, die das IDS irrtümlicherweise nicht richtig interpretieren kann. Dadurch kann die Attacke entscheidende Teile des Datenstroms für das IDS quasi ausblenden.

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

Arbeitsweise von Evasions

Die Protokollsuite TCP/IP, die im Internet und in den meisten Netzwerken zum Einsatz kommt, spielt für Angriffe mit Evasion-Techniken eine besondere Rolle. Die Suite basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und schreibt einem System vor, ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen zu müssen.

Damit darf es nur formal korrekte Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Das bedeutet: Auch wenn Datenpakete verschiedene Formen aufweisen, muss der empfangende Host sie jedoch alle auf dieselbe Weise interpretieren. Dieser liberale Ansatz sollte ursprünglich dazu dienen, die Interoperabilität zwischen Systemen zu gewährleisten.

Die tolerante Interpretationsweise ebnet allerdings auch den Evasion-Techniken den Weg ins Netzwerk. Denn die verschiedenen Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch verarbeitet das Zielsystem eventuell etwas völlig anderes als das Sicherheitssystem erkennt oder vermutet. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern.

Wenn ein IPS-System beispielsweise vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder die möglichen Neuzusammensetzungen nicht bestimmen kann, fehlt ihm der ursprüngliche Zusammenhang des Datenpakets. Die Folge: Das System schreibt den Datenstrom neu, bevor es diesen an den Zielhost weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als das Endsystem.

Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasions können Schadsoftware deshalb als normale und sichere Datenpakete erscheinen lassen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.

Beispiel IP-Fragementierung

Eine von Newsham und Ptacek beschriebene, bekannte Evasion-Technik ist die IP-Fragmentierung. Nach der Regel des RFC 791 soll sie eigentlich die Interoperabilität zwischen Systemen sowie den reibungslosen Umgang mit unterschiedlichen Netzwerktopologien sicherstellen (Postel, 1981).

Bei IP-Fragmentierungs-Evasions dagegen verschleiert der Angreifer seinen Schadcode beispielsweise mithilfe von ungeordneten Datenfragmenten. In einer anderen Variante überflutet er das IPS mit einer Masse an Fragmenten.

Die Autoren warnen: „Ein System, das mit ungeordneten Fragmenten nicht umgehen kann, ist stark gefährdet, denn ein Angreifer kann die Ordnung der fragmentierten Datenströme absichtlich durcheinander bringen, um das System zu umgehen“ (Newsham & Ptacek, 1998).

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

Inspektion des Datenverkehrs

IPS-Geräte überprüfen den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) oder unterbrechen die Verbindung (IPS-Systeme).

Geräte, die den Datenverkehr inspizieren, verwenden dafür unterschiedliche Techniken. Am meisten verbreitet sind Protokollanalyse oder Signaturerkennung. Dabei gleicht das Sicherheitssystem den Datenverkehr mit bekannten Angriffsmustern von Schädlingen oder auch Evasions ab.

Die Anzahl der bekannten Exploits und Schwachstellen ist riesig und steigt weiterhin ständig. Allerdings entwickeln sich auch die Inspektionsfunktionen von IPS-Produkten entsprechend rasch weiter. Wird eine neue IT-Bedrohung bekannt, können Administratoren meist innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementieren.

Eine Schwachstelle von IPS ist jedoch die Tatsache, dass „empfangene Fragmente gespeichert werden müssen, bis alle Fragmente wieder zu einem ganzen IP-Datenpaket zusammengesetzt werden können“ (Newsham & Ptacek, 1998). Deshalb müssen IDS- und IPS-Architekturen alle möglichen Arten kennen, nach denen das Zielsystem die Fragmente wieder zusammensetzen könnte – und dafür muss das IPS-System selbst alle diese Möglichkeiten abdecken.

Neue Herausforderungen

Neben der IP-Fragmentierung gibt es weitere bekannte Evasion-Techniken, die beispielsweise auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren. Auch mit diesen Varianten kommen die meisten Sicherheitssysteme gut zurecht. Mit den so genannten Advanced Evasion Techniques (AETs) stehen sie jedoch aktuell vor ganz neuen Herausforderungen.

AETs kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Mit 2180 möglichen Kombinationen sind Sicherheitssysteme vollkommen überfordert. Teil zwei des Beitrags zeigt, wie sich AETs von bekannten Evasion-Techniken unterscheiden und welche Netzwerke besonders gefährdet sind.

Inhalt

  • Seite 1: Was eine „Evasion“ ausmacht
  • Seite 2: Arbeitsweise von Evasions
  • Seite 3: Inspektion des Datenverkehrs

Hermann Klein ist als Country Manager DACH für Stonesoft tätig.

(ID:2052488)