Advanced Evasion Techniques
Tarnung gegen Sicherheitspolizei
Intrusion-Prevention-Systeme (IPS) fungieren als eine Art Sicherheitspolizei im Netzwerk, die entdeckte Bedrohungen abfängt. Sie sollen daher auch Systeme vor Angriffen schützen, die sich nicht vollständig sichern lassen. Um Schadsoftware im Datenverkehr zu erkennen, prüfen IPS-Architekturen Datenpakete auf bekannte Exploit-Muster. Eine neue IT-Bedrohung, die so genannten Advanced Evasion Techniques (AETs), macht sich aber genau diese Vorgehensweise zu Nutze.Die Sicherheit von Netzwerken hängt von zahlreichen Kriterien ab. Netzwerk?, Server- und Sicherheitsadministratoren müssen viele unterschiedliche Kontrollmechanismen beherrschen und richtig einsetzen, um ein Unternehmen vor einer sich ständig weiterentwickelnden Bedrohungslandschaft zu schützen. Neben diesen Anforderungen erschwert häufig auch die Netzwerktopologie selbst die Sicherheit eines Systems. Denn durch dynamische und schlecht geplante Netzwerkdienste können Administratoren möglicherweise keine strengen Segmentierungs- und Firewall-Regeln umsetzen. So sind in industriellen Netzwerken oft nicht alle eigentlich nötigen Betriebssystem-Updates realisierbar, da beispielsweise noch veraltete Software und Protokolle im Einsatz sind. Die Vielzahl an Patches und neuen Versionen für Betriebssysteme und Anwendungen sowie deren Kompatibilitätsanforderungen verhindern es, solche Systeme kontinuierlich auf dem neuesten Stand der Sicherheit zu halten.
An dieser Stelle kommen IPS ins Spiel. Im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IPS-Geräte den Datenverkehr auch auf Schadcodemuster und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, unterbrechen IPS selbstständig die Datenverbindung. Zur Inspektion des Datenverkehrs arbeiten die meisten Systeme mit Protokollanalyse und Signaturerkennung. Dadurch identifizieren sie bestimmte Angriffsmuster von Schädlingen im Datenverkehr, die Schwachstellen in einem System ausnutzen. Bei der Entdeckung eines neuen Schadcodes werden in der Regel innerhalb weniger Tage, manchmal auch innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementiert. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich möglicherweise mit bereits bestehenden Analysefunktionen erkennen und abwehren.
Hoch entwickelte Tarntechniken
Advanced Evasion Techniques hebeln diese Mechanismen jedoch aus. Mit so genannten Evasions können Hacker ihre Angriffe tarnen, um Netzwerksicherheitssysteme zu umgehen. Bis vor Kurzem waren nur wenige Evasion-Techniken bekannt, mit denen die meisten Sicherheitssysteme gut zurechtkamen. AETs stellen jedoch eine neue Art dieser Bedrohung dar. Sie variieren die Methoden zur Tarnung eines Angriffs ständig und nutzen zudem verschiedene Ebenen im Netzwerkverkehr, um Schadsoftware unbemerkt in ein Netzwerk einzuschleusen. In Tests wurden Möglichkeiten für einen Angriff mit AETs auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC gefunden.
Zur Tarnung eines Schadcodes dienen AETs Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierender Kommunikation. Dabei bedienen sich AETs der Methode der so genannten Desynchronisierung von Netzwerküberwachungssystemen. In diesem Fall nimmt das IPS den Protokollstatus eines Datenpakets anders wahr als das Zielsystem. Dies kann beispielsweise dann passieren, wenn ein IPS vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es diesen an das Zielsystem weiterleitet. Auf diese Weise lassen sich normal und sicher erscheinende Datenpakete einschleusen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.
Die Netzwerksicherheitsexperten von Stonesoft entdeckten AETs Ende 2010 und haben die Bedrohung an die Sicherheitsbehörden gemeldet. Bislang hat der Hersteller fast 150 verschiedene Arten von AETs entdeckt. Die tatsächlichen Kombinationsmöglichkeiten von AETs sind mit 2180 Varianten jedoch fast unbegrenzt. Um ein Netzwerk davor zu schützen, müssten IPS-Architekturen alle möglichen Arten kennen und abdecken. Allerdings reicht manchmal schon eine leichte Veränderung beispielsweise der Byte-Anzahl oder des Segment-Offsets, sodass ein mit AETs getarnter Angriff keinem in einem IPS hinterlegten Muster mehr ähnelt - und ein Schadcode trotz Fingerprint-Update als vermeintlich regulärer Datenverkehr ins Netzwerk gelangt. Damit sind selbst neueste IPS-Lösungen überfordert. Da kein Alarm auf eine mögliche Bedrohung hinweist, kann sich der Hacker dann zum Beispiel unbehelligt im System nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen oder auch das angegriffene System als Administrator übernehmen.
Schwachstelle Internet-Protokoll
Eine wichtige Rolle für den Einsatz von AETs spielt die Protokollsuite TCP/IP, die im Internet und in den meisten Netzwerken zum Einsatz kommt. Sie definiert, dass ein System zwar ein konservatives Sende?, aber ein liberales Empfangsverhalten aufweisen muss. Dieses darf also nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Damit können Datenpakete zwar unterschiedliche Formen aufweisen, das Zielsystem muss sie aber alle auf dieselbe Weise interpretieren. Dieser liberale Ansatz soll die Interoperabilität zwischen Systemen gewährleisten. Allerdings öffnet er auch AETs zahlreiche Wege, einen Angriff zu tarnen. Denn verschiedene Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch erkennt die Applikation des Zielsystems eventuell etwas völlig anderes, als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kommen mit der neuen Internet-Protokollversion 6 (IPv6), die einen größeren Adressraum bietet, auf Unternehmen nicht nur mehr Funktionen zu, sondern auch neue Schwachstellen für Angriffe mithilfe von AETs.
Die neuen Mulitcast-Protokolle und das veränderte Routing von IPv6 eröffnen Advanced Evasion Techniques zusätzliche Möglichkeiten, Angriffe auf der Protokoll- oder Transportebene zu tarnen. Für Sicherheitsverantwortliche kommt erschwerend hinzu, dass momentan noch umfassende Erfahrungswerte mit IPv6 fehlen. Für eine reibungslose Kommunikation erfordert das neue Internet-Protokoll aber auch weitere Kompromisse bei der Definition, wie ein reguläres Datenpaket aussehen muss. Zusammen mit der notwendigen Kompatibilität zum bisherigen IPv4 müssen Zielsysteme ankommende Datenpakete noch toleranter als zuvor interpretieren.
Ein vollständiger Schutz vor AETs existiert derzeit allerdings nicht. Deshalb werden sich IT-Sicherheitsverantwortliche in Unternehmen ebenso wie Anbieter von Sicherheitssystemen zukünftig verstärkt damit auseinander setzen müssen. Zur Entwicklung einer langfristigen Lösung hat Stonesoft beispielsweise mit der Website www.antievasion.com eine offene Community-Plattform geschaffen, auf der sich IT-Sicherheitsexperten und -anbieter zum Thema austauschen und aktuelle Informationen zu AETs finden können. Patch-Management oder die Ergänzung von Signaturdatenbanken allein reichen als Lösung nicht aus, denn sie können mit den dynamischen Bedrohungsmustern nicht mithalten. Mit IPv6 kommen außerdem weitere Herausforderungen auf Administratoren und Sicherheitsmechanismen zu.
Lesen Sie mehr zum Thema
