Advanced Evasion Techniques (AETs)
Wie Angreifer unerkannt bleiben
Techniken von Cyberkriminellen, sich während eines Angriffs der Entdeckung zu entziehen ("Evasion Techniques"), bilden eine besondere Gefahr für die IT-Sicherheit in Unternehmen: Angreifer tarnen oder modifizieren ihr Vorgehen dabei so, dass Abwehrsysteme sie nicht erkennen und blockieren können. Bösartige Programme gelangen dadurch ungehindert in Unternehmensnetzwerke.
Hacker haben vielfältige Evasion-Techniken entwickelt, um Sicherheitslösungen in Unternehmen wie etwa Firewalls, Antivirensoftware oder Intrusion-Prevention-Systeme (IPS) zu umgehen. Eine weit verbreitete Methode ist die sogenannte IP-Fragmentierung. Hierbei werden ungeordnete Datenfragmente verwendet und IPS-Lösungen mit einer Vielzahl von Fragmenten überflutet. Andere Evasion-Techniken basieren auf IP- und TCP-Optionen oder auch auf TCP-Sequenzen.
Um eine maximale Interoperabilität zwischen verschiedenen Systemen zu gewährleisten, muss ein Host interpretierbare Datenpakete stets akzeptieren, was zu einem Einfallstor für Angriffe werden kann. Dies liegt daran, dass sich verschiedene Betriebssysteme und Anwendungen beim Empfang von Datenpaketen unterschiedlich verhalten. So ist es durchaus möglich, dass die Applikation des Zielsystems abweichend vom ursprünglichen Datenverkehr im Netzwerk etwas komplett anderes erkennt.
Ein Sicherheitsrisiko entsteht beispielsweise dann, wenn das IPS vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dem IPS geht dadurch der ursprüngliche Kontext des Datenpakets verloren, sodass es den Datenstrom vor der Weiterleitung an das Zielsystem neu interpretiert. Dies bedeutet, dass das IPS den Protokollstatus anders wahrnimmt als der Ziel-Host. Der Kontext zwischen dem IPS und dem Zielsystem verändert sich also, ein als "Status-Desynchronisierung" bezeichnetes Phänomen. Genau dies nutzen Evasion-Techniken: Es lassen sich normal und sicher erscheinende Datenpakete erstellen, die erst auf dem Endsystem bei der Interpretation als Angriff dienen.
Viele moderne Sicherheitslösungen bekommen herkömmliche Evasion-Techniken mittlerweile gut in den Griff. Anders sieht es allerdings bei den sogenannten "Advanced Evasion Techniques" aus: Diese verfügen über ausgefeilte Methoden der Tarnung, um zum Beispiel das IPS zu umgehen. Hierbei nutzen Angreifer gezielt Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Die Evasion-Techniken zielen auf die Desynchronisierung von Netzwerk-Monitoring-Systemen, die den Datenverkehr aus der Perspektive des Zielsystems betrachten. AETs modifizieren dabei kontinuierlich die Methoden zur Tarnung eines Angriffs sowie die Ebenen im Netzwerkverkehr. So haben Tests zahlreiche Möglichkeiten für einen Angriff auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC nachgewiesen.
Genau hier muss ein IPS ansetzen: Für einen wirksamen Schutz des Netzwerks sollten IPS- und IDS-Architekturen (Intrusion Detection System) alle Kombinationsmöglichkeiten kennen, nach denen das Zielsystem Datenfragmente wieder zusammensetzen könnte - Fachleute von Forcepoint haben mittlerweile rund 150 verschiedene Arten entdeckt. Tatsächlich jedoch gibt es etwa 2180 verschiedene Kombinationsmöglichkeiten von AETs, so aktuelle Schätzungen von Experten.
Erschwerte Malware-Erkennung
Dies kann heutzutage kein IPS abdecken, was mit der Arbeitsweise dieser Sicherheitsapplikationen zu tun hat: Während Firewalls anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS) oder unterbrechen die Datenverbindung (IPS). Geräte zur Überwachung des Datenverkehrs verwenden dafür zwar unterschiedliche Techniken, die meisten arbeiten dabei aber überwiegend mit Protokollanalyse und Signaturerkennung. Sie erkennen bestimmte Angriffsmuster von Schädlingen im Datenverkehr, die Schwachstellen in einem Kommunikationssystem ausnutzen.
Wird eine neue IT-Bedrohung entdeckt, implementieren die IDS/IPS-Hersteller innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten. Dabei lassen sich Schadprogramme, die bereits bekannten Bedrohungen ähneln, oftmals mit vorhandenen Analysefunktionen erkennen und abwehren. Aufgrund der hohen Anzahl möglicher Kombinationsmöglichkeiten von AETs können IPS-Lösungen verborgene Angriffe im Datenpaket jedoch kaum aufspüren. AETs lassen sich in so vielen Varianten ändern - manchmal reicht eine minimale Modifikation wie beispielsweise der Byte-Anzahl oder des Segment-Offset - dass sie keinem im IPS-System hinterlegten Angriffsmuster mehr ähneln. Dadurch erkennt das Sicherheitssystem den verborgenen Schadcode nicht und lässt ihn ungehindert ins Netzwerk strömen. Da keine mögliche Bedrohung ersichtlich ist, kann ein Hacker ungestört im System nach einer möglichen Schwachstelle oder einem ungepatchten Server suchen.
Für eine zuverlässige Erkennung von Evasion-Techniken müssen IPS-Lösungen mehr im Blick haben als nur Merkmale bekannter Schadcode-Muster. Sicherheitsanwendungen, die vom Ziel-Host empfangene Informationen mit Angriffssignaturen vergleichen, können nicht ohne Weiteres jedes einzelne Paket des Netzwerkverkehrs beobachten. Auch reicht es nicht aus, die Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Klassische IPS-Funktionen wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Exploits Verwendung finden, sind daher bei AETs nicht wirksam.
Vielmehr müssen Sicherheitslösungen weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, beispielsweise vom Endsystem nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können. Der Mechanismus für diese zusätzlichen Kontrollen wird Normalisierung genannt. Sicherheitsgeräte, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich werden alle relevanten Protokollschichten für jede Verbindung berücksichtigt. So sinkt das Risiko, dass bestimmte Datenpakete unentdeckt am Sicherheitssystem vorbei ins Netzwerk gelangen.
Da Evasion-Techniken keine Spuren hinterlassen, bemerken IT-Organisationen ein Angriff meist zu spät - und zwar erst dann, wenn der Schadcode bereits im System ist. Wie genau er am Sicherheitssystem vorbeigeschleust wurde, lässt sich dann mitunter nicht mehr eindeutig feststellen. AETs können sehr komplex ausfallen und erfordern in der Regel tiefergehendes Wissen sowie umfangreiche Ressourcen - doch darüber verfügen professionell organisierte Cyberkriminelle mit wirtschaftlicher oder politischer Motivation. Daher bedrohen Advanced-Evasion-Techniken selbst sensible Daten von großen Unternehmen, Behörden oder Banken.
Flexible, softwarebasierte Sicherheitssysteme bieten momentan den sichersten Schutz vor dynamischen und sich ständig weiterentwickelnden Evasion-Techniken. Denn bei softwarebasierten Applikationen lassen sich Updates und Sicherheits-Patches sofort implementieren. Hierbei unterstützt eine zentrale Management-Plattform, mit der Administratoren alle Sicherheitssysteme zentral kontrollieren und verwalten können. Damit lassen sich Sicherheitsrichtlinien und Zugriffsregelungen ebenso wie alle Updates von zentraler Stelle aus über das gesamte Netzwerk verteilen. Dies ist bei Bedarf auch per Fernzugriff möglich, was eine schnelle Reaktion auf neu entdeckte Muster erlaubt.
Lesen Sie mehr zum Thema
