Advanced Evasion Techniques

Wie Angreifer bösartige Datenpakete verschleiern

| Autor / Redakteur: Tuukka Helander* / Stephan Augsten

Wie Evasion-Techniken kombiniert werden

Advanced Evasion Techniques (AET) sind eine Weiterentwicklung der Evasion-Techniken und sind um einiges gefährlicher. Sie lassen sich nur schwer erkennen, weil sie neue Tarnmethoden mit bekannten Evasion-Techniken kombinieren und gleichzeitig einsetzen. Außerdem können sie mehreren Ebenen im Netzwerkverkehr wie IP und TCP-Segmente manipulieren.

Das Ergebnis: Jede neue Kombination bräuchte einen eigenen Fingerprint. Kombiniert ein Angreifer also die Evasion-Methoden A und B, dann müsste das IPS einen Fingerprint C beinhalten. Den McAfee Labs sind aktuell über 300 Evasion-Techniken bekannt. Allein mit jeder neuen Kombination aus diesen über 300 bestehenden Techniken wäre eine schier unendliche Anzahl an Fingerprints nötig, um auf jede Eventualität vorbereitet zu sein.

CIOs und Sicherheitsexperten schätzen die Zahl der AETs auf 220.000, tatsächlich gibt es mehr als 800 Millionen, Tendenz steigend. Diese Zahl zeigt auch die besonders hohe Gefahr, die von den fast unendlichen Kombinationsmöglichkeiten der AETs ausgeht.

Die meisten Firewalls oder IPS-Appliances können die fortschrittlichen Umgehungsmethoden nicht erkennen, da sie sich nur auf Ungereimtheiten in oder Verletzungen von Protokollen konzentrieren. Um die hochentwickelten Umgehungsmethoden sicher zu erkennen, bedarf es aber einer Analyse und Entschlüsselung der Daten auf jeder Netzwerkebene.

Normalisierung der Datenströme ist der Schlüssel

Sicherheitslösungen müssen deshalb in der Lage sein, den Datenverkehr auf jeder Protokollebene zu 100 Prozent zu normalisieren und einen konstanten Datenstrom zu überprüfen statt nur Segmente oder Pseudo-Pakete. Datenstrom-basierte Überprüfungen erfordern hohe Speicherkapazitäten und Verarbeitungsleistungen, um weiterhin einen hohen Durchsatz zu gewährleisten.

Das nutzen Angreifer aus und verteilen ihre Attacken über die Grenzen von Segmenten oder Pseudo-Paketen hinaus. Die Analyse des decodierten und normalisierten Verkehrs auf allen Protokoll-Layern ist dennoch ein Muss. Außerdem wichtig ist die anwendungsspezifische Normalisierung, die die AET-Erkennung auch auf höhere Layer im Netzwerk ausweitet.

Notwendig ist außerdem eine sichere HTTPS/TLS-Inspektion, um das Netzwerk vor ankommenden und abgehenden TLS-Verbindungen zu schützen. Eine effiziente Protokollwiederherstellung und -normalisierung ermöglicht einen effektiven Umgang mit Umgehungsmethoden und stellt sicher, dass ein auf Schwachstellen ausgerichteter Ansatz Angriffe erfolgreich erkennen und abwehren kann.

Im Gegensatz dazu wird ein Exploit-basierter Ansatz, der sich auf einen auf Pakete ausgerichteten Mustervergleich verlässt, Angriffe mit AETs nicht erkennen, weil deren mögliche Kombinationen unendlich sind. Doch ein unerkannter Evasion-Typus öffnet die Tür für eine ganze Klasse an Exploits.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43036251 / Intrusion-Detection und -Prevention)