Advanced Evasion Techniques - Neue Herausforderung für Sicherheitssysteme im Netzwerk

Neue Angriffsfelder

Zunächst wurden in Tests vor allem Möglichkeiten für Angriffe mit AETs auf der IP- und Transportebene (TCP, UDP) und bei Anwendungsschichtprotokollen wie SMB und RPC entdeckt. Daher wurden sie zunächst vor allem als interne Bedrohung eingeschätzt. Im Herbst 2011 wurden dann erstmals auch AETs für unterschiedliche Protokolle wie IPv4, IPv6, TCP und HTTP entdeckt. Wenn AETs die HTTP-Protokollschicht (Port 80), also das Internet, nutzen, können sie auch Firewalls täuschen und über den Web-Datenverkehr Schädlinge ins Netzwerk schleusen. Dadurch sind Hacker-Angriffe mit AETs beispielsweise für Cloud-Computing-Umgebungen eine besonders große Bedrohung - aber auch für jedes andere Unternehmen, dessen Anwendungen und Daten Verbindung zum Internet haben.

Das neue Internetprotokoll IPv6 bietet AETs ebenfalls neue Möglichkeiten, Angriffe auf der Protokoll- oder Transportebene zu tarnen. Denn für eine reibungslose Kommunikation erfordert das neue Internetprotokoll weitere Kompromisse bei der Definition, wie ein reguläres Datenpaket aussehen muss. Bedingt durch die notwendige Kompatibilität zu IPv4 müssen Zielsysteme eingehende Datenpakete noch toleranter interpretieren als bislang. Das vergrößert den Spielraum von AETs bei der Tarnung von Schadprogrammen. Erschwerend kommt hinzu, dass derzeit noch umfassende Erfahrungswerte mit IPv6 fehlen.

Das Unternehmen Stonesoft hat mittlerweile über 300 verschiedene AETs identifiziert. Das ist aber nur ein Tropfen auf den heißen Stein. Nach aktuellen Schätzungen gibt es 2 hoch 180 potenzielle Kombinationsmöglichkeiten von AETs. Genau das macht die besondere Herausforderung für Sicherungssysteme aus. IPS-Systeme müssten, um ein Netzwerk zuverlässig vor mit AETs getarnten Angriffen zu schützen, alle AET-Varianten kennen und abdecken, mit denen ein Zielsystem Datenfragmente wieder zusammensetzen kann.