Die besondere Gefahr von Advanced Evasion Techniques (AETs) sind ihre fast unendlichen Kombinationsmöglichkeiten. So gibt es nach aktuellen Schätzungen etwa 2 hoch 180 verschiedene AET-Varianten, mit denen Hacker einen Angriff tarnen können. Bislang bewährte Schutzmechanismen von Intrusion-Prevention-Systemen oder Firewalls sind damit überfordert und greifen nicht mehr. Es gibt zwar noch keinen umfassenden Schutz vor AETs, aber mit geeigneten Methoden lassen sich diese Angriffe eindämmen.
Foto: Stonesoft, Hermann Klein
Als Evasions werden Methoden bezeichnet, mit denen Hacker Schadsoftware tarnen oder verändern, um sie unbemerkt in Netzwerke einzuschleusen. Dabei spielt für einfache Evasions wie auch für AETs die Protokoll-Suite TCP/IP, die im Internet und im Großteil der aktuellen Computernetzwerke verwendet wird, eine entscheidende Rolle. Sie wird im Internet und bei den meisten aktuellen Computernetzwerken verwendet. Sie geht auf den IP-Standard RFC 791 zurück und legt ein liberales Empfangsverhalten bei einem konservativen Sendeverhalten fest. Es können nur formal fehlerfreie Datenpakete versendet werden, dagegen werden alle ankommenden Datenpakete akzeptiert, die das Endsystem interpretieren kann. Eingehende Datenpakete können also unterschiedliche Formate aufweisen, werden aber allesamt auf dieselbe Weise interpretiert. Hintergrund dieses liberalen Ansatzes ist es, die Interaktion zwischen unterschiedlichen Systemen so zuverlässig wie möglich zu gestalten. Gleichzeitig begünstigt der Ansatz aber Angriffe beziehungsweise Methoden, die dazu dienen, Attacken zu verschleiern.
Beim Empfang von Datenpaketen verhalten sich einzelne Betriebssysteme und Anwendungen nämlich unterschiedlich. Das kann dazu führen, dass ein IPS den ursprünglichen Zusammenhang des Datenpakets nicht erkennt und den Datenstrom anders interpretiert als der Ziel-Host. Dieser Vorgang heißt "Status-Desynchronisierung". Evasion-Techniken und AETs setzen genau hier an: Mithilfe der Status-Desynchronisierung lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke zu erkennen geben. Der Schadcode ist dann aber bereits im Netzwerk.
Die besonderen Gefahren von AETs
Bislang waren nur wenige Evasions bekannt, mit denen die meisten Sicherheitssysteme aber gut umgehen konnten. Seit der Entdeckung der Advanced Evasion Techniques ist jedoch klar, dass es noch viel mehr Möglichkeiten gibt, IPS-Systeme mithilfe von Tarntechniken zu umgehen. AETs machen sich Schwachstellen in Protokollen und die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation zunutze. Genauso wie herkömmliche Evasion-Techniken setzen sie bei der oben beschriebenen Methode der Status-Desynchronisierung an. AETs gehen dabei aber noch perfider vor: Anders als einfache Evasions variieren und kombinieren sie die Methoden zur Tarnung eines Angriffs ständig und wechseln zudem die Ebenen im Netzwerkverkehr.
Neue Angriffsfelder
Zunächst wurden in Tests vor allem Möglichkeiten für Angriffe mit AETs auf der IP- und Transportebene (TCP, UDP) und bei Anwendungsschichtprotokollen wie SMB und RPC entdeckt. Daher wurden sie zunächst vor allem als interne Bedrohung eingeschätzt. Im Herbst 2011 wurden dann erstmals auch AETs für unterschiedliche Protokolle wie IPv4, IPv6, TCP und HTTP entdeckt. Wenn AETs die HTTP-Protokollschicht (Port 80), also das Internet, nutzen, können sie auch Firewalls täuschen und über den Web-Datenverkehr Schädlinge ins Netzwerk schleusen. Dadurch sind Hacker-Angriffe mit AETs beispielsweise für Cloud-Computing-Umgebungen eine besonders große Bedrohung - aber auch für jedes andere Unternehmen, dessen Anwendungen und Daten Verbindung zum Internet haben.
Foto: Sronesoft
Das neue Internetprotokoll IPv6 bietet AETs ebenfalls neue Möglichkeiten, Angriffe auf der Protokoll- oder Transportebene zu tarnen. Denn für eine reibungslose Kommunikation erfordert das neue Internetprotokoll weitere Kompromisse bei der Definition, wie ein reguläres Datenpaket aussehen muss. Bedingt durch die notwendige Kompatibilität zu IPv4 müssen Zielsysteme eingehende Datenpakete noch toleranter interpretieren als bislang. Das vergrößert den Spielraum von AETs bei der Tarnung von Schadprogrammen. Erschwerend kommt hinzu, dass derzeit noch umfassende Erfahrungswerte mit IPv6 fehlen.
Das Unternehmen Stonesoft hat mittlerweile über 300 verschiedene AETs identifiziert. Das ist aber nur ein Tropfen auf den heißen Stein. Nach aktuellen Schätzungen gibt es 2 hoch 180 potenzielle Kombinationsmöglichkeiten von AETs. Genau das macht die besondere Herausforderung für Sicherungssysteme aus. IPS-Systeme müssten, um ein Netzwerk zuverlässig vor mit AETs getarnten Angriffen zu schützen, alle AET-Varianten kennen und abdecken, mit denen ein Zielsystem Datenfragmente wieder zusammensetzen kann.
Schutzmöglichkeiten vor AETs
Geräte, die den Datenverkehr inspizieren, arbeiten in der Regel mit Protokollanalyse und Signaturerkennung. Das bedeutet, dass ein IPS-System Angriffsmuster bereits kennen muss, um sie abwehren zu können. Wegen der riesigen Zahl potenzieller AETs macht genau das den Schutz vor ihnen so schwierig. Zwar werden in der Regel nach Entdeckung einer neuen IT-Bedrohung innerhalb weniger Tage entsprechende Erkennungsmethoden in den Geräten hinterlegt. Bestehende Analysefunktionen machen es darüber hinaus häufig auch möglich, Schadprogramme zu erkennen und abzuwehren, die bereits bekannten Schädlingen ähneln. Manchmal reicht jedoch schon eine minimale Veränderung etwa bei der Byte-Anzahl, und eine AET-Variante ähnelt keinem der im IPS-System hinterlegten Angriffsmuster mehr. Als Konsequenz daraus erkennt das Sicherheitssystem den mit AETs verschlüsselten Schadcode nicht und lässt ihn ungehindert ins Netzwerk. Der Angreifer kann sich dann unbemerkt nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen.
Die Wirkmechanismen von IPS-Systemen haben also mehr als die Merkmale bekannter Schadcodemuster zu berücksichtigen, wenn sie mit AETs getarnte Angriffe erkennen können sollen. Sicherheitsapplikationen, die vom Ziel-Host empfangene Angriffssignaturen mit bereits bekannten vergleichen müssen, sind nicht fähig, jedes einzelne Paket des Netzwerkverkehrs zu berücksichtigen. Es reicht nicht aus, alle Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Aus diesem Grund schützen klassische Funktionen eines IPS wie Fingerprinting oder die signaturbasierte Erkennung, die in der Regel zum Schutz vor Exploits verwendet werden, nicht vor AETs.
Normalisierungsprozesse sind notwendig
Sicherheitssysteme müssen deshalb weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken. Dazu gehören vom Endsystem nicht empfangene Datenpakete oder Protokolle, die unterschiedlich entschlüsselt werden können. Diese zusätzlichen Kontrollen können mit einem Mechanismus umgesetzt werden, der Normalisierung genannt wird. Sicherheitsgeräte, die fähig sind, umfassende Multi-Layer-Normalisierungsprozesse umzusetzen, interpretieren und setzen Datenpakete vollständig wie das Endsystem zusammen. Darüber hinaus berücksichtigen sie alle relevanten Protokollschichten für jede Verbindung. Das reduziert die Gefahr, dass Datenpakete, die sich nicht nach den Regeln des RFC 791 verhalten, unbemerkt Sicherheitssysteme passieren können.
Netzwerke sollten außerdem mit flexiblen, softwarebasierten Sicherheitssystemen geschützt werden. Diese bieten zwar keinen hundertprozentigen Schutz vor AETs, im Gegensatz zu hardwarebasierten Lösungen können sie aber besser und schneller auf die sich rasch verändernden Bedrohungsmuster der AETs eingestellt werden. Denn Updates und Sicherheits-Patches lassen sich bei softwarebasierten Applikationen sofort implementieren. Dagegen ist die Aktualisierung hardwarebasierter Lösungen oftmals sehr zeitaufwändig oder teilweise sogar unmöglich. Zum Schutz vor dynamischen und sich ständig weiterentwickelnden Bedrohungen sind sie damit ungeeignet.
Wichtig beim Einsatz softwarebasierter Sicherheitssysteme ist eine Managementplattform, mit der alle Sicherheitssysteme zentral verwaltet und kontrolliert werden können. Damit lassen sich Sicherheitsrichtlinien und Zugriffsregelungen ebenso wie Updates zentral über das gesamte Netzwerk und tief in die Sicherheitsarchitektur ausrollen, bei Bedarf auch per Fernzugriff. So ist eine schnellstmögliche Reaktion auf neu entdeckte AETs möglich.
Für welche Zwecke werden AETs bislang eingesetzt?
Inwieweit AETs bereits für gezielte Angriffe auf Netzwerke eingesetzt werden, lässt sich nicht eindeutig sagen. Weil AETs keine Spuren hinterlassen, werden Angriffe meistens erst bemerkt, wenn sich der Schadcode bereits im Netzwerk befindet und ausgebreitet hat. Dann lässt sich aber nicht mehr nachweisen, mit welcher Tarntechnik der Schadcode an den Sicherheitssystemen vorbeigeschleust wurde.
Aktuelle Test-Ergebnisse deuten darauf hin, dass der Einsatz einiger AETs relativ leicht zu handhaben ist, was vermuten lässt, dass Hacker bereits auf sie zurückgreifen. Andere dagegen sind äußerst komplex, ihre Anwendung erfordert erhebliche finanzielle Ressourcen und umfassendes technisches Know-how. Darüber verfügen vor allem organisierte Cyber-Kriminelle, die aus wirtschaftlichen oder politischen Motiven handeln. Mit AETs getarnte Angriffe sind deshalb gerade für die sensiblen Daten großer Unternehmen, Behörden oder Banken eine Gefahr. (hal)