Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme konnten gut mit Ihnen umgehen. Eine neue Art bilden jedoch die so genannten Advanced Evasion Techniques (AETs), die der finnische Anbieter für Netzwerksicherheit Stonesoft im Sommer 2010 entdeckt hat. Diese kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Ähnlich einem Tarnkappenbomber schleusen sie Attacken unentdeckt ins Netzwerk ein. Die Kombinationsmöglichkeiten von AETs sind quasi unbegrenzt, sodass sie selbst modernste IPS-Technologien einfach umgehen können.
Evasions sind in der IT-Security-Forschung seit Ende der 90er Jahre bekannt. So stellten 1998 Tim Newsham und Thomas Ptacek im Rahmen einer Forschungsarbeit mehrere Techniken vor, die dazu genutzt werden konnten, Sicherheitssysteme wirksam zu umgehen. Eine der bekanntesten Evasion-Technik basiert auf der so genannten IP-Fragmentierung. Dabei nutzt der Angreifer beispielsweise ungeordnete Datenfragmente oder überflutet das IPS-System mit einer Masse an Fragmenten. Darüber hinaus gibt es weitere Evasion-Techniken, die zum Beispiel auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren.
Eine wichtige Rolle für den Einsatz von Evasion-Techniken spielt die Protokollsuite TCP/IP, die im Internet und in den meisten Computernetzwerken zum Einsatz kommt. Sie basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und gibt vor, dass ein System ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen muss. Das bedeutet, es darf nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Datenpakete können also unterschiedliche Formen aufweisen, die vom empfangenden Host jedoch alle auf dieselbe Weise interpretiert werden. Dieser liberale Ansatz sollte dazu dienen, die Interoperabilität zwischen Systemen so zuverlässig wie möglich zu gestalten.
Allerdings ebnet das auch zahlreichen Attacken den Weg ebenso wie Methoden, diese zu verschleiern. Denn verschiedene Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch erkennt die Applikation des Zielsystems eventuell etwas völlig anderes als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern. Dies kann beispielsweise dann passieren, wenn ein IPS-System vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es diesen an das Zielsystem weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als der Zielhost. Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasion-Techniken machen sich das zunutze: Denn dadurch lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.
Raffiniert getarnt – Advanced Evasion Techniques
Die Entdeckung der Advanced Evasion Techniques hat gezeigt, dass es sehr viel mehr Möglichkeiten gibt, ein IPS-System mithilfe von Tarntechniken zu umgehen, als bisher bekannt. AETs nutzen Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Ähnlich wie die bereits bekannten Evasions machen sie sich dabei die oben beschriebene Methode der Desynchronisierung von Netzwerküberwachungssystemen, die den Datenverkehr aus der Perspektive des Zielsystems betrachten, zunutze. Doch im Gegensatz zu einfachen Evasions variieren AETs die Methoden zur Tarnung eines Angriffs ständig und auch die Ebenen im Netzwerkverkehr. In Tests wurden Möglichkeiten für einen Angriff mit AETs auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC gefunden.
Und hier liegt die Herausforderung für IPS-Systeme: Um ein Netzwerk zu schützen, müssen IDS- beziehungsweise IPS-Architekturen alle möglichen Arten kennen und abdecken, nach denen das Zielsystem Datenfragmente wieder zusammensetzen könnte. Inzwischen hat Stonesoft fast 150 verschiedene Arten entdeckt, die tatsächliche Anzahl der Kombinationsmöglichkeiten von AETs liegt nach aktuellen Schätzungen jedoch bei 2 hoch 180. Eine Zahl, die aktuell kein IPS-System abdecken kann. Dies hängt mit der Arbeitsweise dieser Sicherheitsapplikationen zusammen. Denn im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) (Abb. 1) oder unterbrechen die Datenverbindung (IPS-Systeme) (Abb. 2).
Geräte, die den Datenverkehr inspizieren, verwenden dafür zwar unterschiedliche Techniken, die meisten arbeiten dabei aber unter anderem mit Protokollanalyse und Signaturerkennung. So werden bestimmte Angriffsmuster von Schädlingen im Datenverkehr erkannt, die Schwachstellen in einem Kommunikationssystem ausnutzen. Bei der Entdeckung einer neuen IT-Bedrohung werden in der Regel innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementiert. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich möglicherweise mit bereits bestehenden Analysefunktionen erkennen und abwehren. Die enorme Anzahl möglicher Kombinationsmöglichkeiten von AETs erschweren es IPS-Systemen jedoch beziehungsweise machen es fast unmöglich, die verborgene Attacke im Datenpaket aufzuspüren. AETs lassen sich in so vielen Varianten ändern – manchmal reicht eine minimale Veränderung wie beispielsweise der Byte-Anzahl oder des Segment-Offset – dass sie keinem im IPS-System hinterlegten Angriffsmuster mehr ähneln. Die Folge: Das Sicherheitssystem erkennt den damit verborgenen Schadcode nicht und lässt ihn ungehindert ins Netzwerk. Da kein Alarm auf eine mögliche Bedrohung hinweist, kann sich der Hacker dann zum Beispiel unbehelligt im System nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen.
Der richtige Blick – Normalisierung
Um auch Advanced Evasion Techniques zu erkennen, müssen IPS-Systeme mehr im Blick haben als nur Merkmale bekannter Schadcodemuster. Denn Sicherheitsapplikationen, die vom Zielhost empfangene Informationen mit Angriffssignaturen vergleichen müssen, können nicht einfach jedes einzelne Paket des Netzwerkverkehrs beobachten. Ebenso wenig reicht es, die Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Deshalb greifen die Funktionen eines klassischen IPS wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Exploits verwendet werden, bei AETs nicht. Sicherheitssysteme müssen vielmehr weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, beispielsweise vom Endsystem nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können. Der Mechanismus, der diese zusätzlichen Kontrollen umsetzt, heißt Normalisierung. Sicherheitsgeräte, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich berücksichtigen sie auch alle relevanten Protokollschichten für jede Verbindung. Das verringert die Gefahr, dass Datenpakete, die sich nicht nach den Regeln des RFC 791 verhalten, unentdeckt am Sicherheitssystem vorbei ins Netzwerk gelangen können.
Vorbeugender Schutz
Darüber hinaus bieten flexible, softwarebasierte Sicherheitssysteme aktuell den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs. Denn im Gegensatz zu hardwarebasierten Lösungen, deren Aktualisierung angesichts der sich rasch verändernden Bedrohungsmuster äußerst schwierig, manchmal sogar unmöglich ist, lassen sich Updates und Sicherheits-Patches bei softwarebasierten Applikationen sofort implementieren. Hilfreich dabei ist eine Managementplattform, mit der Administratoren alle Sicherheitssysteme zentral kontrollieren und verwalten können. Dadurch lassen sich Sicherheitsrichtlinien und Zugriffsregelungen ebenso wie alle Updates von zentraler Stelle aus über das gesamte Netzwerk und tief in der Sicherheitsarchitektur ausrollen, bei Bedarf auch per Fernzugriff. Das ermöglicht eine schnelle Reaktion auf neu entdeckte AET-Muster.
Aktuell gibt es noch keinen hundertprozentigen Schutz vor AETs, da sie sich ständig dynamisch weiterentwickeln. Mit den genannten Maßnahmen können Unternehmen ihr Netzwerk jedoch zumindest bestmöglich vorbeugend davor schützen. Inwieweit AETs bereits für gezielte Angriffen auf Netzwerke zum Einsatz kommen, ist momentan noch unklar. Da AETs keine Spuren hinterlassen, wird ein Angriff meist erst dann bemerkt, wenn der Schadcode bereits im System ist. Mit welcher Methode er am Sicherheitssystem vorbeigeschleust wurde, lässt sich dann nicht mehr feststellen. Die aktuellen Test-Ergebnisse aus den StoneLabs zeigen jedoch, dass einige AETs recht einfach sind. Daher ist es wahrscheinlich, dass Hacker diese Tarntechniken bereits verwenden. Andere AETs sind deutlich komplexer und erfordern tiefer gehendes Wissen sowie mehr Ressourcen. Darüber verfügen jedoch organisierte Cyberkriminelle mit wirtschaftlicher oder auch politischer Motivation. Aus diesem Grund sind vor allem sensible Daten von großen Unternehmen, Behörden oder auch Banken von den neuen raffinierten Evasion-Techniken bedroht. Höchste Zeit also für Anbieter von Sicherheitslösungen, wieder mehr in die Evasion-Forschung zu investieren, um Hackern bei AETs eventuell einen Schritt voraus zu sein. Hierfür hat Stonesoft mit www.antievasion.com eine offene Community-Plattform geschaffen, auf der sich IT-Sicherheitsexperten zum Thema austauschen und gemeinsam an der Entwicklung einer langfristigen Lösung arbeiten können. (ph)