Raffiniert getarnt – Advanced Evasion Techniques
Foto: Stonesoft, Hermann Klein
Die Entdeckung der Advanced Evasion Techniques hat gezeigt, dass es sehr viel mehr Möglichkeiten gibt, ein IPS-System mithilfe von Tarntechniken zu umgehen, als bisher bekannt. AETs nutzen Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Ähnlich wie die bereits bekannten Evasions machen sie sich dabei die oben beschriebene Methode der Desynchronisierung von Netzwerküberwachungssystemen, die den Datenverkehr aus der Perspektive des Zielsystems betrachten, zunutze. Doch im Gegensatz zu einfachen Evasions variieren AETs die Methoden zur Tarnung eines Angriffs ständig und auch die Ebenen im Netzwerkverkehr. In Tests wurden Möglichkeiten für einen Angriff mit AETs auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC gefunden.
Foto: Stonesoft, Hermann Klein
Und hier liegt die Herausforderung für IPS-Systeme: Um ein Netzwerk zu schützen, müssen IDS- beziehungsweise IPS-Architekturen alle möglichen Arten kennen und abdecken, nach denen das Zielsystem Datenfragmente wieder zusammensetzen könnte. Inzwischen hat Stonesoft fast 150 verschiedene Arten entdeckt, die tatsächliche Anzahl der Kombinationsmöglichkeiten von AETs liegt nach aktuellen Schätzungen jedoch bei 2 hoch 180. Eine Zahl, die aktuell kein IPS-System abdecken kann. Dies hängt mit der Arbeitsweise dieser Sicherheitsapplikationen zusammen. Denn im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) (Abb. 1) oder unterbrechen die Datenverbindung (IPS-Systeme) (Abb. 2).
- Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor. - Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben. - BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden. - Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden. - Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist. - F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.
Geräte, die den Datenverkehr inspizieren, verwenden dafür zwar unterschiedliche Techniken, die meisten arbeiten dabei aber unter anderem mit Protokollanalyse und Signaturerkennung. So werden bestimmte Angriffsmuster von Schädlingen im Datenverkehr erkannt, die Schwachstellen in einem Kommunikationssystem ausnutzen. Bei der Entdeckung einer neuen IT-Bedrohung werden in der Regel innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementiert. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich möglicherweise mit bereits bestehenden Analysefunktionen erkennen und abwehren. Die enorme Anzahl möglicher Kombinationsmöglichkeiten von AETs erschweren es IPS-Systemen jedoch beziehungsweise machen es fast unmöglich, die verborgene Attacke im Datenpaket aufzuspüren. AETs lassen sich in so vielen Varianten ändern – manchmal reicht eine minimale Veränderung wie beispielsweise der Byte-Anzahl oder des Segment-Offset – dass sie keinem im IPS-System hinterlegten Angriffsmuster mehr ähneln. Die Folge: Das Sicherheitssystem erkennt den damit verborgenen Schadcode nicht und lässt ihn ungehindert ins Netzwerk. Da kein Alarm auf eine mögliche Bedrohung hinweist, kann sich der Hacker dann zum Beispiel unbehelligt im System nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen.