Advanced Evasion Techniques: eine Herausforderung für Intrusion-Prevention-Technologien

IDS- und IPS-Systeme sollen den Missbrauch von Lücken in anderen IT-Sicherheitssystemen aufdecken. Durch die Kombination älterer Schwachstellen oder das Ausnutzen neuer und protokollimanenter Lücken lassen sich aber auch sie überlisten. Dieser ZDNet-Gastbeitrag beschreibt die als Advanced Evasion Techniques bezeichneten Methoden.

Die Komplexität heutiger Netzwerkumgebungen erschwert das Management von IT-Sicherheitssystemen. Intrusion-Detection- und Intrusion-Prevention-Systeme (IPS) bieten Schutz vor Angriffen, besonders für Systeme, die nicht vollständig gesichert werden können, da für sie jedes Update ein Risiko darstellt. Seit den Anfängen der IPS-Technologie gibt es Versuche, diese Systeme zu umgehen. Bis jetzt haben Cyberkriminelle oder Hacker dafür nur einige wenige, gut erforschte sogenannte Evasion-Techniken eingesetzt.

Nun hat Stonesoft jedoch neuartige Evasion-Techniken entdeckt, die aus bisher unbekannten Tarnmethoden sowie verschiedenen Kombinationen bereits bekannter Evasions bestehen: Advanced Evasion Techniques (AETs) nutzen Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Dabei erlauben quasi unbegrenzte Kombinationsmöglichkeiten unzählige Evasionarten, die selbst modernste IPS-Technologien umgehen können.

Die Sicherheit von Netzwerken hängt von sehr vielen Faktoren ab – selbst, wenn es nur um den Schutz vor aktiven, netzwerkbasierten Attacken geht. Die Vielzahl an Kontrollmechanismen, die Netzwerk-, Server- und Sicherheitsadministratoren beherrschen und richtig einsetzen müssen, um mit einer sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten, ist kaum noch zu überblicken: Alle Netzwerkgeräte, Serverbetriebssysteme und Anwendungen müssen richtig konfiguriert und auf dem aktuellsten Stand sein und Zugriffskontrollen richtig eingesetzt werden.

Darüber hinaus sollte ein Netzwerk immer segmentiert sein, um eventuelle Schäden durch Eindringlinge zu minimieren und so die Sicherheit zu erhöhen. Die Firewall-Regeln dürfen ausschließlich die vom Unternehmen benötigten Dienste zulassen. Alle Systemlogs sollten zentral erfasst, gespeichert und auf ungewöhnliche oder unerwartete Verhaltensweisen überprüft werden. Gleichzeitig muss der Schutz von Kreditkartendaten und personenbezogenen Informationen sowohl den internen Sicherheitsbestimmungen als auch externen Compliance-Anforderungen entsprechen.

Doch auch wenn Unternehmen versuchen, sich an diese sowie an zusätzliche bewährte Sicherheitsmethoden zu halten, macht ihnen ihre Netzwerktopologie möglicherweise einen Strich durch die Rechnung. Denn dynamische und schlecht geplante Netzwerkdienste erlauben es eventuell gar nicht, strenge Segmentierungs- und Firewall-Regeln umzusetzen. So sind in vielen industriellen Netzwerken nicht alle nötigen Betriebssystem-Updates möglich, da beispielsweise noch alte Software und Protokolle im Einsatz sind. Die Vielzahl an Patches und neuen Versionen für Betriebssysteme und Anwendungen sowie deren Kompatibilitätsanforderungen erschweren es Unternehmen, sie ausreichend zu testen und ständig aktuell zu halten.

Die Rolle von Intrusion-Detection- und Prevention-Systemen

Auch wenn Netzwerk-Firewalls ständig aktualisiert werden, sind sie grundsätzlich statisch. Ergänzend dazu kommen deshalb Intrusion-Detection- (IDS) und Intrusion-Prevention-Systeme (IPS) zum Einsatz. Mit ihnen können Unternehmen die oben aufgeführten Sicherheitsrisiken reduzieren. Im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird.

Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) oder unterbrechen die Verbindung (IPS-Systeme). Die auf der Inspektion von Datenverkehr basierenden Geräte verwenden zwar unterschiedliche Techniken, die meisten arbeiten aber unter anderem mit Protokollanalyse und Signaturerkennung. So werden bestimmte Angriffsmuster von Exploits im Datenverkehr erkannt, die Schwachstellen in einem Kommunikationssystem ausnutzen.

Die Anzahl der bekannten Exploits und Schwachstellen ist enorm und steigt weiterhin rasant an. Allerdings entwickeln sich auch die Inspektionsfunktionen von IDS- und IPS-Produkten rasch weiter. Bei der Entdeckung einer für Unternehmen relevanten IT-Bedrohung werden in der Regel innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementiert. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich möglicherweise mit bereits bestehenden Analysefunktionen erkennen und abwehren.

Evasions

Was macht ein Hacker, wenn ein Zielsystem zwar eine ausnutzbare Schwachstelle aufweist, der Angriff aber von einem netzwerkbasierten Überwachungssystem abgewehrt wird? Hier kommt die Evasion-Technik ins Spiel. Die Entwicklung von Evasion-Techniken – kurz Evasions – blieb von Cyberkriminellen nicht unbemerkt. Bei Evasions fragt ein Angreifer nicht mehr, „Wie hacke ich ein Zielsystem?“, sondern „Wie hacke ich ein System unbemerkt?“.

TCP/IP basiert auf den Anforderungen des IP-Standards RFC 791 aus dem Jahr 1981. Unter anderem gibt der Standard Folgendes vor: „Im Allgemeinen muss eine Implementierung ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen. Das heißt, sie darf nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die sie interpretieren kann“ (Postel, 1981). Beispielsweise dürfen keine technischen Fehler beanstandet werden, wenn der Inhalt klar ist.

AUTOR

Die Autoren

Mark Boltz ist Senior Solutions Architect bei der Stonesoft Corporation und seit über 18 Jahren als Experte für Netzwerksicherheit tätig. Er ist Certified Information Systems Security Professional (CISSP) und Certified Information Systems Auditor (CISA). Mika Jalava ist Chief Technical Officer (CTO) der Stonesoft Corporation. Jack Walsh ist Antispam und Network IPS Program Manager bei ICSA Labs, einem unabhängigen Geschäftsbereich von Verizon Business.

Nachrichten können also unterschiedliche Formen aufweisen, die vom empfangenden Host jedoch alle auf dieselbe Weise interpretiert werden. Dieser liberale Ansatz soll die Interoperabilität zwischen Systemen so zuverlässig wie nur möglich gestalten. Dadurch wurde allerdings nicht nur der Weg für zahlreiche Attacken geebnet, sondern auch für Methoden, um diese zu verschleiern.

Da sich verschiedene Betriebssysteme und Anwendungen beim Empfang von Datenpaketen nicht alle gleich verhalten, erkennt die Applikation des Zielsystems eventuell etwas völlig anderes, als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen Sicherheitssystem und Host verändern. In vielen Fällen ist es möglich, diese Unterschiede für einen Angriff auszunutzen: So lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen. Diese Techniken werden im Allgemeinen als Evasions bezeichnet.

Themenseiten: Gastbeiträge, Hacker, IT-Business, Mittelstand

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Advanced Evasion Techniques: eine Herausforderung für Intrusion-Prevention-Technologien

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *