Advanced Evasion Techniques: eine Herausforderung für Intrusion-Prevention-Technologien

1998 stellten Newsham und Ptacek im Rahmen einer Forschungsarbeit mehrere Techniken vor, die sich dazu benutzen ließen, Sicherheitssysteme wirksam zu umgehen. Seither wurde auf diesem Gebiet kaum mehr geforscht und weder IT-Sicherheitsanbieter noch Hacker schienen daran interessiert zu sein.

Eine der von Newsham und Ptacek beschriebenen grundlegenden Evasion-Techniken basiert auf der IP-Fragmentierung, die auch in RFC 791 behandelt wird. Sie soll die Interoperabilität zwischen Systemen sowie den reibungslosen Umgang mit unterschiedlichen Netzwerktopologien sicherstellen. Bei IP-Fragmentierungs-Evasions nutzt der Angreifer beispielsweise ungeordnete Datenfragmente oder überflutet das IPS-System mit einer Masse an Fragmenten. „Ein IDS-System, das mit ungeordneten Fragmenten nicht umgehen kann, ist stark gefährdet, denn ein Angreifer kann die Ordnung der fragmentierten Datenströme absichtlich durcheinander bringen, um das IDS-System zu umgehen“ warnen Newsham und Ptacek schon 1998.

Desynchronisierung

Ein weiterer schwieriger Faktor für IDS-Systeme ist, dass „empfangene Fragmente gespeichert werden müssen, bis alle Fragmente wieder zu einem ganzen IP-Datenpaket zusammengesetzt werden können.“ Deshalb müssen IDS- und IPS-Architekturen alle möglichen Arten ausgleichen, nach denen das Zielsystem die Fragmente wieder zusammensetzen könnte – und dafür muss das IPS-System alle Möglichkeiten abdecken. Wenn das IPS-System vor dem Anlegen von Signaturen nicht genügend Fragmente puffern oder die möglichen Neuzusammensetzungen nicht bestimmen kann, ist es ihm unmöglich, auf den entsprechenden Kontext zurückzugreifen, sodass es „den Datenstrom auf dem IDS neu schreibt“. Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird „Status-Desynchronisierung“ genannt.

Weitere bereits in der Forschungsarbeit von 1998 genannte Evasions sind unterschiedliche Techniken, die auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren. Diese werden in der Arbeit genau beschrieben. Viele der in der Forschungsarbeit dargestellten Evasion-Techniken werden von den heutigen IPS-Systemen immer noch nicht erkannt – was doch sehr verwunderlich ist und deutlich macht, wie wenig Interesse und Aufmerksamkeit IT-Sicherheitsanbieter Evasion-Techniken bisher gewidmet haben.

Forschungseinrichtungen wie die ICSA Labs, die Zertifizierungstests für Sicherheitsgeräte durchführen, haben mehrere Evasions in ihre IPS-Testreihen integriert. Allerdings ist die Menge an neuen Sicherheitslücken und Exploits so groß, dass Angreifer damit bisher relativ erfolgreich waren. Deshalb werden weiterhin eher die neuesten Schadprogramme eingesetzt, um Netzwerksicherheitsmechanismen zu umgehen, anstatt Angriffe in Kombination mit Evasion-Techniken durchzuführen.

Normalisierung

Da Sicherheits-Kontrollgeräte die vom Zielhost empfangenen Informationen mit Angriffssignaturen vergleichen müssen, können sie nicht einfach jedes einzelne Paket des Netzwerk-Traffics beobachten. Ebenso wenig reicht es, die Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente zusammenzusetzen. Sicherheitsgeräte müssen vielmehr weitere Möglichkeiten in Betracht ziehen, beispielsweise vom Endhost nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können.

Der Mechanismus, der diese zusätzlichen Kontrollen umsetzt, heißt Normalisierung. Er wurde bereits 1999 von Handley und Paxson vorgeschlagen und 2001 erweitert (PDF). Allerdings erschweren die Regeln des RFC 791 die sogenannte Normalisierung: Denn obwohl der Standard dem sendenden Host ein konservatives Verhalten vorschreibt, kann nicht davon ausgegangen werden, dass sich Benutzer mit böswilligen Absichten daran halten. Und während der Zielhost laut RFC 791 ein liberales Empfangsverhalten an den Tag legen sollte, lassen die weiterführenden Standards, die dieses Verhalten definieren, oft zu viele Varianten zu.

Handley und Paxson fügen hinzu, dass „der Datenverkehr eines Netzwerks leider oft einen nicht unerheblichen Anteil von höchst ungewöhnlichem, jedoch nicht schadhaftem Traffic aufweist. Dies kann als Evasion-Verdacht zu Fehlalarmen (False Positives) führen.“ Nachdem eine Datennachricht von verschiedenen Betriebssystemen auf unterschiedliche Weise decodiert wird, ist es für Sicherheitsgeräte aufgrund des Normalisierungsprozesses äußerst schwierig, richtige Entscheidungen zu treffen.