Advanced Evasion Techniques Wie Angreifer bösartige Datenpakete verschleiern

Autor / Redakteur: Tuukka Helander* / Stephan Augsten

Advanced Evasion Techniques, kurz AETs, sind sehr raffinierte Methoden, um Malware bei einem gezielten Angriff unbemerkt ins Netzwerk einzuschleusen. Ziel ist es, eventuell installierte Intrusion-Detection- oder -Prevention-Systeme zu täuschen. Hierfür werden verschiedene Mechanismen kombiniert, um Datenpakete zu tarnen.

Firmen zum Thema

Die Normalisierung des Datenstroms ist ein Weg, um verschleierte und durcheinandergewürfelte Datenpakete zu erkennen.
Die Normalisierung des Datenstroms ist ein Weg, um verschleierte und durcheinandergewürfelte Datenpakete zu erkennen.
(Bild: Archiv)

Cyber-Kriminelle setzen vermehrt auf lang angelegte, verschleierte Attacken, sogenannte Advanced Persistent Threats (APTs). Hierfür suchen sie zunächst profitable Opfer aus und verschaffen sich mit einem hohen Maß an Fachkenntnis und Planung über unterschiedlichen Angriffsvektoren und -methoden Zugang zu deren IT-Infrastruktur.

Haben sie sich einen Zugang zum Netzwerk verschafft, arbeiten die Angreifer nach Möglichkeit im Verborgenen, bis sie in andere Systeme vordringen können. Ziels des ganzen ist es, sensible Informationen wie Geschäftsdokumente, Kunden- und Personaldaten zu entwenden. Ein probates Mittel hierfür sind so genannte Evasion-Techniken, die den gezielten Angriff tarnen und zur Verbreitung von Schadcode dienen.

Herkömmliche Evasion-Techniken sind schon länger bekannt. Sie nutzen Schwachstellen in Protokollen und die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation. Sie teilen beispielsweise ihre bösartige Schad-Software in kleine Datenpakete auf, verschlüsseln und vermischen sie und liefern sie dann gleichzeitig aus, indem sie selten genutzte Protokolleigenschaften ausnutzen. Im Netzwerk wird die Schadsoftware wieder zusammengefügt.

Evasions beruhen darauf, dass ein System lediglich formal fehlerfreie Datenpakete versenden darf, jedoch alle Datenpakete akzeptieren muss, die es interpretieren kann. Der Empfänger der Verbindung verhält sich kulant und nimmt den ankommenden Datenstrom auch dann an und leitet ihn an die Anwendung weiter, wenn er nicht hundertprozentig perfekt ist.

Herkömmliche Intrusion-Prevention-Systeme (IPS) gehen davon aus, dass alle Datenströme konservativ gesendet werden: Es steht fest, welcher Teil wann kommt, wo der Anfang und wo das Ende ist. Ein altes IPS verhält sich wie ein alter Wachmann, der seinen Blick für die allabendlich eintreffende Putzkolonne nicht mehr vom Fernseher abwendet, geschweige denn sie untersucht. IPS-Systeme können Evasion Techniques nur erkennen, wenn sie einen Fingerprint zu dieser bestimmten Technik beinhalten.

Wie Evasion-Techniken kombiniert werden

Advanced Evasion Techniques (AET) sind eine Weiterentwicklung der Evasion-Techniken und sind um einiges gefährlicher. Sie lassen sich nur schwer erkennen, weil sie neue Tarnmethoden mit bekannten Evasion-Techniken kombinieren und gleichzeitig einsetzen. Außerdem können sie mehreren Ebenen im Netzwerkverkehr wie IP und TCP-Segmente manipulieren.

Das Ergebnis: Jede neue Kombination bräuchte einen eigenen Fingerprint. Kombiniert ein Angreifer also die Evasion-Methoden A und B, dann müsste das IPS einen Fingerprint C beinhalten. Den McAfee Labs sind aktuell über 300 Evasion-Techniken bekannt. Allein mit jeder neuen Kombination aus diesen über 300 bestehenden Techniken wäre eine schier unendliche Anzahl an Fingerprints nötig, um auf jede Eventualität vorbereitet zu sein.

CIOs und Sicherheitsexperten schätzen die Zahl der AETs auf 220.000, tatsächlich gibt es mehr als 800 Millionen, Tendenz steigend. Diese Zahl zeigt auch die besonders hohe Gefahr, die von den fast unendlichen Kombinationsmöglichkeiten der AETs ausgeht.

Die meisten Firewalls oder IPS-Appliances können die fortschrittlichen Umgehungsmethoden nicht erkennen, da sie sich nur auf Ungereimtheiten in oder Verletzungen von Protokollen konzentrieren. Um die hochentwickelten Umgehungsmethoden sicher zu erkennen, bedarf es aber einer Analyse und Entschlüsselung der Daten auf jeder Netzwerkebene.

Normalisierung der Datenströme ist der Schlüssel

Sicherheitslösungen müssen deshalb in der Lage sein, den Datenverkehr auf jeder Protokollebene zu 100 Prozent zu normalisieren und einen konstanten Datenstrom zu überprüfen statt nur Segmente oder Pseudo-Pakete. Datenstrom-basierte Überprüfungen erfordern hohe Speicherkapazitäten und Verarbeitungsleistungen, um weiterhin einen hohen Durchsatz zu gewährleisten.

Das nutzen Angreifer aus und verteilen ihre Attacken über die Grenzen von Segmenten oder Pseudo-Paketen hinaus. Die Analyse des decodierten und normalisierten Verkehrs auf allen Protokoll-Layern ist dennoch ein Muss. Außerdem wichtig ist die anwendungsspezifische Normalisierung, die die AET-Erkennung auch auf höhere Layer im Netzwerk ausweitet.

Notwendig ist außerdem eine sichere HTTPS/TLS-Inspektion, um das Netzwerk vor ankommenden und abgehenden TLS-Verbindungen zu schützen. Eine effiziente Protokollwiederherstellung und -normalisierung ermöglicht einen effektiven Umgang mit Umgehungsmethoden und stellt sicher, dass ein auf Schwachstellen ausgerichteter Ansatz Angriffe erfolgreich erkennen und abwehren kann.

Im Gegensatz dazu wird ein Exploit-basierter Ansatz, der sich auf einen auf Pakete ausgerichteten Mustervergleich verlässt, Angriffe mit AETs nicht erkennen, weil deren mögliche Kombinationen unendlich sind. Doch ein unerkannter Evasion-Typus öffnet die Tür für eine ganze Klasse an Exploits.

Mit Next Generation Firewalls für AETs gerüstet

Next Generation Firewalls wie die von McAfee nehmen sich dieser Herausforderungen an. Die Lösung analysiert den gesamten normalisierten Datenstrom, der durch zahlreiche parallele und aufeinander folgende Zustandsmaschinen geleitet wird. Alle Datenpakete des Datenstroms werden gesammelt und dann in einem Paket zusammen überprüft.

In diesem Sinne arbeitet die Next Generation Firewall genau wie der Server: Alle Teile des Datenstroms werden an einem Ort gebündelt bevor daraus Schlüsse gezogen werden. Genau an dieser Stelle werden die Advanced Evasion Techniques obsolet - unabhängig davon ob die Pakete klein sind, in der falschen Reihenfolge, sich Datenmüll dazwischen befindet oder ähnliches mehr.

Mit einem kompletten - normalisierten – Datenstrom werden alle Versuche etwas zu verstecken überflüssig. Durch diese Normalisierung wird eine Interpretation des Netzwerkverkehrs möglich. Bei der Überprüfung des normalisierten Datenstroms, passiert der letzte Teil nicht die Next Generation Firewall. Findet die Analyse dann etwas schädliches, kann die Verbindung unterbrochen und die Systeme dahinter geschützt werden. Der eigentliche Datenstrom kann daraufhin für eine Überprüfung auf höheren Ebenen wiederhergestellt werden.

In den höheren Ebenen werden im Datenstrom bestimmte Protokollelemente identifiziert und diese, wenn angemessen, als einzelne Datenströme überprüft und je nach Protokoll normalisiert. Beispielsweise werden komprimierte HTTPs zur Überprüfung dekomprimiert und MSRPC (Microsoft Remote Procedure Call) Pipes, die denselben Server Message Block nutzen, für separate Überprüfungen bereitgestellt.

Schließlich ist bei vielen Bedrohungen die zentrale Verwaltung eine der wichtigsten und entscheidendsten Verteidigungslinien. Im Fall von AETs, bei denen hochentwickelte Umgehungsmethoden Inhalte verteilen ohne von Netzwerksicherheitsgeräten erkannt zu werden, muss der Schutz stetig aktualisiert werden, um mit den Bedrohungen mithalten zu können.

Ein Überblick über die Sicherheitslage, detaillierte Analysen von Angriffsmethoden und Wissen darüber, wie die Exploits entwickelt wurden, sind daher von zentraler Bedeutung. Es reicht nicht aus zu wissen, welche Angriffe es gibt. Genauso wichtig ist es, zu wissen, wie diese Angriffe entwickelt wurden.

Fazit

Es ist empfehlenswert, mehrere Schutzebenen aufzubauen, um die Angriffe zu erkennen und zu stoppen. Desgleichen ist es wichtig, Lösungen zu wählen, die Schutz für mehrere Vektoren bieten und alle Einfallstore wie Netzwerke, Endgeräte, Web und E-Mail für Stealth-Angriffe absichern. Doch darüber hinaus sollten die Schutzmaßnahmen Umgehungstechniken erkennen können.

Tuuka Helander
Tuuka Helander
(Bild: McAfee)
* Tuukka Helander ist Senior Sales System Engineer bei McAfee.

(ID:43036251)