Das Forschungs-Team von Stonesoft beschäftigt sich neben der Weiterentwicklung der eigenen Produkte auch mit dem Thema Evasions. Die Ergebnisse der Arbeiten des Teams deuten darauf hin, dass es viel mehr Möglichkeiten gibt, ein IPS-System mithilfe von Evasion-Techniken vom Netzwerk-Verkehr zu desynchronisieren, als bisher bekannt waren. Da einige der Methoden relativ einfach sind, war man anfangs besorgt, dass diese Evasions von Kriminellen möglicherweise bereits entdeckt und eingesetzt worden waren, ohne dass sie von aktuellen IPS-Geräten erkannt wurden. Andere Evasions sind deutlich komplexer, jedoch ebenso zweckmäßig und effektiv.
Möglicherweise wurde die Evasion-Forschung vor einigen Jahren dadurch ausgebremst, dass viele Angriffs- und Evasion-Tools durch Standard-Betriebssysteme und deren TCP/IP-Stapel eingeschränkt wurden. Dies resultiert aus der Tatsache, dass diese Systeme ein konservatives Sendeverhalten an den Tag legen mussten. Durch den Einsatz spezieller Low-Level-Tools einschließlich TCP/IP-Stapel mit weitaus größerer Flexibilität befreiten sich die Forscher von diesen Einschränkungen und entdeckten bald Dutzende weiterer möglicher Evasions. Tests mit aktuellen IPS- und ähnlichen Geräten zeigten, dass diese neuartigen Evasions die Sicherheitssysteme erfolgreich umgehen können.
Die neuen Evasions basieren meist auf dem bekannten Prinzip der Desynchronisierung von Überwachungssystemen, die den Datenverkehr aus der Perspektive des Endhosts betrachten. Doch obwohl das Ziel stets dasselbe ist, kommen unterschiedliche Methoden zur Anwendung. Evasion-Möglichkeiten wurden auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC gefunden. Während des Vulnerability-Coordination-Prozesses unter Leitung der finnischen Sicherheitsbehörde CERT-FI durften die Details über Advanced Evasion Techniques nicht bekannt gegeben werden. Die Forschungsergebnisse wurden jedoch bereits im Rahmen von unabhängigen Testreihen von den ICSA Labs bestätigt. Die Fachöffentlichkeit wird weitere Informationen über die Techniken erhalten, sobald dies ohne Sicherheitsrisiko möglich ist.
Die Tatsache, dass Evasion-Methoden kombinierbar sind, erschwert das Aufspüren dieser IT-Bedrohung und den Normalisierungsprozess zusätzlich. Die Laborumgebung von Stonesoft unterliegt nicht den Einschränkungen von Betriebssystemen bezüglich der Versendung falsch formatierter Pakete an das Netzwerk. Es können also alle möglichen Modifizierungen und Kombinationen an anfälligen Hostsystemen mit den auf dem Markt erhältlichen IPS- oder anderen Sicherheitssystemen (etwa Netzwerk-Firewalls) getestet werden. Dass die neuen Evasions sowie deren Anwendungsmöglichkeiten zusätzliche Anforderungen an den Normalisierungsprozess stellen, liegt auf der Hand. Es ist nicht mehr möglich, sich allein auf die Normalisierung auf der IP- und Transportebene zu verlassen, da immer mehr Evasions auf unterschiedliche Protokolle auf der Anwendungsebene abzielen.
Der Forschungsbeitrag der ICSA Labs
ICSA Labs hat in über 20 Jahren Hunderte von Computer- und Netzwerksicherheitsprodukten getestet. Mit strengen, unabhängigen Tests von Antivirus- und Antispam-Produkten sowie Geräten aus den Bereichen Netzwerk-Intrusion-Prevention, Firewall, FIPS-140, USGv6, SSL und IPsec und vielen anderen Produkten stellt ICSA Labs sicher, dass Endnutzer in Unternehmen den größtmöglichen Schutz erhalten. Deshalb wandte sich Stonesoft an ICSA Labs, um seine Forschungsergebnisse der neu entdeckten Advanced Evasion Techniques (AETs) bestätigen zu lassen.
Stonesoft demonstrierte die Resultate des Forschungsteams für ICSA Labs bei einer Videokonferenz. Die Experten hatten Evasions in ein internes Tool namens Predator integriert. ICSA Labs konnte zusehen, wie die Attacken mittels der neu entdeckten AETs die IPS-Geräte unbemerkt passierten. Die Angriffe alleine konnten die Geräte jedoch erkennen. Anschließend konnten die ICSA Labs die AETs testen, das Predator-Tool und der Evasion-Code durften das Forschungslabor in Finnland aus Sicherheitsgründen jedoch nicht verlassen.
Nach der Demonstration des Predator-Tools sowie einiger Evasion-Techniken per Video stellte Stonesoft Datenpakete (Traffic Packet Captures) bereit, die das Forschungsteam mit dem Tool erstellt hatte – dieselben Datenpakete, die das CERT-FI den betroffenen Netzwerksicherheitsanbietern zur Verfügung gestellt hatte. Sicherheitsexperten der ICSA Labs analysierten die Pakete und bestätigten, dass viele der Evasions neu und bisher unbekannt sind. Mithilfe der Traffic Captures konnte ICSA Labs außerdem nachvollziehen, dass die durch AETs verschleierten Attacken von vielen bekannten Intrusion-Prevention-Systemen nicht aufgespürt wurden.
Um jedoch tatsächlich nachzuweisen, dass AETs die Sicherheitssysteme umgehen können und eine Gefahr für Netzwerke darstellen, musste ICSA Labs AETs selbst mit Attacken kombinieren und an anfälligen Systemen testen. Dafür richteten ICSA Labs und Stonesoft einen gesicherten VPN-Tunnel zwischen der Stonesoft-Zentrale in Helsinki und dem Testlabor der ICSA Labs in Mechanicsburg, Pennsylvania (USA) ein. Über diese VPN-Verbindung konnten die Sicherheitsexperten der ICSA Labs auf die grafische Benutzeroberfläche des Predator-Tools zugreifen. So waren sie in der Lage, mit AETs kombinierte Attacken über mehrere IPS-Geräte an ein anfälliges System zu senden. ICSA Labs testete etwa ein Dutzend Attacken und konnte bestätigen, dass viele der versteckten Angriffe von einem oder mehreren auf dem Markt erhältlichen IPS-Produkten nicht erkannt wurden und sich unbemerkt in das Zielsystem einschleichen konnten.
Neueste Kommentare
Noch keine Kommentare zu Advanced Evasion Techniques: eine Herausforderung für Intrusion-Prevention-Technologien
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.