Advanced Evasion Techniques - Neue Herausforderung für Sicherheitssysteme im Netzwerk

Die besondere Gefahr von Advanced Evasion Techniques (AETs) sind ihre fast unendlichen Kombinationsmöglichkeiten. So gibt es nach aktuellen Schätzungen etwa 2 hoch 180 verschiedene AET-Varianten, mit denen Hacker einen Angriff tarnen können. Bislang bewährte Schutzmechanismen von Intrusion-Prevention-Systemen oder Firewalls sind damit überfordert und greifen nicht mehr. Es gibt zwar noch keinen umfassenden Schutz vor AETs, aber mit geeigneten Methoden lassen sich diese Angriffe eindämmen.

Als Evasions werden Methoden bezeichnet, mit denen Hacker Schadsoftware tarnen oder verändern, um sie unbemerkt in Netzwerke einzuschleusen. Dabei spielt für einfache Evasions wie auch für AETs die Protokoll-Suite TCP/IP, die im Internet und im Großteil der aktuellen Computernetzwerke verwendet wird, eine entscheidende Rolle. Sie wird im Internet und bei den meisten aktuellen Computernetzwerken verwendet. Sie geht auf den IP-Standard RFC 791 zurück und legt ein liberales Empfangsverhalten bei einem konservativen Sendeverhalten fest. Es können nur formal fehlerfreie Datenpakete versendet werden, dagegen werden alle ankommenden Datenpakete akzeptiert, die das Endsystem interpretieren kann. Eingehende Datenpakete können also unterschiedliche Formate aufweisen, werden aber allesamt auf dieselbe Weise interpretiert. Hintergrund dieses liberalen Ansatzes ist es, die Interaktion zwischen unterschiedlichen Systemen so zuverlässig wie möglich zu gestalten. Gleichzeitig begünstigt der Ansatz aber Angriffe beziehungsweise Methoden, die dazu dienen, Attacken zu verschleiern.

Beim Empfang von Datenpaketen verhalten sich einzelne Betriebssysteme und Anwendungen nämlich unterschiedlich. Das kann dazu führen, dass ein IPS den ursprünglichen Zusammenhang des Datenpakets nicht erkennt und den Datenstrom anders interpretiert als der Ziel-Host. Dieser Vorgang heißt "Status-Desynchronisierung". Evasion-Techniken und AETs setzen genau hier an: Mithilfe der Status-Desynchronisierung lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke zu erkennen geben. Der Schadcode ist dann aber bereits im Netzwerk.

Die besonderen Gefahren von AETs

Bislang waren nur wenige Evasions bekannt, mit denen die meisten Sicherheitssysteme aber gut umgehen konnten. Seit der Entdeckung der Advanced Evasion Techniques ist jedoch klar, dass es noch viel mehr Möglichkeiten gibt, IPS-Systeme mithilfe von Tarntechniken zu umgehen. AETs machen sich Schwachstellen in Protokollen und die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation zunutze. Genauso wie herkömmliche Evasion-Techniken setzen sie bei der oben beschriebenen Methode der Status-Desynchronisierung an. AETs gehen dabei aber noch perfider vor: Anders als einfache Evasions variieren und kombinieren sie die Methoden zur Tarnung eines Angriffs ständig und wechseln zudem die Ebenen im Netzwerkverkehr.