Advanced Evasion Techniques bedrohen Netzwerke

Bis vor Kurzem waren nur einige wenige, gut erforschte Evasion-Techniken bekannt. Die meisten Sicherheitssysteme konnten gut mit Ihnen umgehen. Eine neue Art bilden jedoch die so genannten Advanced Evasion Techniques (AETs), die der finnische Anbieter für Netzwerksicherheit Stonesoft im Sommer 2010 entdeckt hat. Diese kombinieren neue Tarnmethoden mit bekannten Evasion-Techniken und können so nahezu alle Netzwerk-Sicherheitslösungen umgehen. Ähnlich einem Tarnkappenbomber schleusen sie Attacken unentdeckt ins Netzwerk ein. Die Kombinationsmöglichkeiten von AETs sind quasi unbegrenzt, sodass sie selbst modernste IPS-Technologien einfach umgehen können.

Evasions sind in der IT-Security-Forschung seit Ende der 90er Jahre bekannt. So stellten 1998 Tim Newsham und Thomas Ptacek im Rahmen einer Forschungsarbeit mehrere Techniken vor, die dazu genutzt werden konnten, Sicherheitssysteme wirksam zu umgehen. Eine der bekanntesten Evasion-Technik basiert auf der so genannten IP-Fragmentierung. Dabei nutzt der Angreifer beispielsweise ungeordnete Datenfragmente oder überflutet das IPS-System mit einer Masse an Fragmenten. Darüber hinaus gibt es weitere Evasion-Techniken, die zum Beispiel auf IP- und TCP-Optionen sowie TCP-Sequenzen basieren.

Eine wichtige Rolle für den Einsatz von Evasion-Techniken spielt die Protokollsuite TCP/IP, die im Internet und in den meisten Computernetzwerken zum Einsatz kommt. Sie basiert auf dem IP-Standard RFC 791 aus dem Jahr 1981 und gibt vor, dass ein System ein konservatives Sende- und ein liberales Empfangsverhalten aufweisen muss. Das bedeutet, es darf nur formal fehlerfreie Datenpakete versenden, muss jedoch alle Datenpakete akzeptieren, die es interpretieren kann. Datenpakete können also unterschiedliche Formen aufweisen, die vom empfangenden Host jedoch alle auf dieselbe Weise interpretiert werden. Dieser liberale Ansatz sollte dazu dienen, die Interoperabilität zwischen Systemen so zuverlässig wie möglich zu gestalten.

Immunet Protect
Immunet ist ebenfalls eine Anti-Viren-Lösung, die allerdings einen Cloud-basierten Ansatz nutzt.

Online Armor
Online Armor ist eine kostenlose Firewall für Windows-PCs.

Avira AntiVir Personal
Avira ist eine der bekanntesten kostenlosen Anti-Viren-Lösungen.

Hijack This
HiJack this hilft, infizierte Rechner zu untersuchen.

Spybot Search and Destroy
Spybot sucht auf dem Rechner nach Keyloggern, Spyware und Adware.

Microsoft Security Essentials
Security Essentials ist die kostenlose Anti-Viren-Lösung von Microsoft.

Spamihilator
Die Software ergänzt das E-Mail-Programm und kann unerwünschte Mails erkennen und aussortieren.

Zone Alarm
Zone Alarm ist eine kostenlose Firewall für Windows.

Sophos Anti-Virus for Mac
Sophos liefert einen kostenlosen Anti-Virus für Mac OS.

Secunia PSI
Der Personal Software Inspector von Secunia überprüft die installierten Programme und schlägt gegebenfalls Updates vor.

Allerdings ebnet das auch zahlreichen Attacken den Weg ebenso wie Methoden, diese zu verschleiern. Denn verschiedene Betriebssysteme und Anwendungen verhalten sich beim Empfang von Datenpaketen auch unterschiedlich. Dadurch erkennt die Applikation des Zielsystems eventuell etwas völlig anderes als sich ursprünglich im Datenverkehr des Netzwerks befand. Zudem kann das Netzwerk selbst den Datenverkehr zwischen dem Sicherheitssystem und dem Host verändern. Dies kann beispielsweise dann passieren, wenn ein IPS-System vor dem Anlegen von Signaturen nicht genügend Datenfragmente speichern oder diese nicht richtig neu zusammensetzen kann. Dadurch fehlt dem IPS der ursprüngliche Kontext des Datenpakets und es schreibt den Datenstrom neu, bevor es diesen an das Zielsystem weiterleitet. Das IPS-System nimmt den Protokollstatus also anders wahr als der Zielhost. Diese Kontextveränderung zwischen dem IPS- und dem Zielsystem wird als „Status-Desynchronisierung“ bezeichnet. Evasion-Techniken machen sich das zunutze: Denn dadurch lassen sich normal und sicher erscheinende Datenpakete erstellen, die sich erst bei der Interpretation durch das Endsystem als Attacke entpuppen.

Raffiniert getarnt – Advanced Evasion Techniques

Die Entdeckung der Advanced Evasion Techniques hat gezeigt, dass es sehr viel mehr Möglichkeiten gibt, ein IPS-System mithilfe von Tarntechniken zu umgehen, als bisher bekannt. AETs nutzen Schwachstellen in Protokollen sowie die niedrigen Sicherheitsbarrieren netzwerkbasierter Kommunikation aus. Ähnlich wie die bereits bekannten Evasions machen sie sich dabei die oben beschriebene Methode der Desynchronisierung von Netzwerküberwachungssystemen, die den Datenverkehr aus der Perspektive des Zielsystems betrachten, zunutze. Doch im Gegensatz zu einfachen Evasions variieren AETs die Methoden zur Tarnung eines Angriffs ständig und auch die Ebenen im Netzwerkverkehr. In Tests wurden Möglichkeiten für einen Angriff mit AETs auf der IP- und Transportebene (TCP, UDP) sowie bei Anwendungsschicht-Protokollen einschließlich SMB und RPC gefunden.

Und hier liegt die Herausforderung für IPS-Systeme: Um ein Netzwerk zu schützen, müssen IDS- beziehungsweise IPS-Architekturen alle möglichen Arten kennen und abdecken, nach denen das Zielsystem Datenfragmente wieder zusammensetzen könnte. Inzwischen hat Stonesoft fast 150 verschiedene Arten entdeckt, die tatsächliche Anzahl der Kombinationsmöglichkeiten von AETs liegt nach aktuellen Schätzungen jedoch bei 2 hoch 180. Eine Zahl, die aktuell kein IPS-System abdecken kann. Dies hängt mit der Arbeitsweise dieser Sicherheitsapplikationen zusammen. Denn im Gegensatz zu Firewalls, die anhand festgelegter Sicherheitsregeln Datenpakete nach Quelle, Ziel, Protokoll und anderen Eigenschaften zulassen oder abweisen, überprüfen IDS- und IPS-Geräte den gesamten Datenverkehr und lassen diesen nur ins Netzwerk, solange keine Bedrohung entdeckt wird. Versucht Schadsoftware ins Netzwerk einzudringen, alarmieren sie entweder den Administrator (IDS-Systeme) (Abb. 1) oder unterbrechen die Datenverbindung (IPS-Systeme) (Abb. 2).

Microsoft Security Essentials
Mit Microsoft Security Essentials steht allen Besitzern einer gültigen Windows-Installation ein kostenloser Basisschutz vor Malware zur Verfügung. Die Software richtet sich besonders an unerfahrene Anwender die bisher noch keinen oder nur wenig Kontakt zu Security-Software hatten. Microsoft Security Essentials überwacht im Hintergrund ob sich Schadsoftware auf dem PC befindet und nimmt gegebenenfalls Reinigungsaktionen vor.

Sophos Anti-Virus for Mac Home Edition
Sophos bietet seine Sicherheits-Software Anti-Virus for Mac Home Edition kostenlos für Privatanwender an und reagiert damit auf die zunehmende Bedrohung durch Mac-Viren. Das Anti-Malware-Programm läuft im Hintergrund und untersucht jede Datei beim Ausführen auf ihr etwaiges Risiko. Wurde Malware gefunden, so kann Sophos Anti-Virus for Mac Home Edition diese auch direkt entfernen oder in ein Quarantäneverzeichnis verschieben.

BitDefender Antivirus Pro 2011
Vergleicht man das Datenblatt gegenüber dem Vorgänger von BitDefender Antivirus Pro 2011, so fallen einige Verbesserungen auf. Beispielsweise hat nun auch in dieser Anti-Viren-Software die Cloud-Suche Einzug gehalten, was geringere Reaktionszeiten auf bislang unbekannte Malware verspricht. Weiterhin lässt sich die Benutzeroberfläche nun an individuelle Bedürfnisse anpassen und es können eigene Verknüpfungen zu häufig aufgerufenen Programmfunktionen angelegt werden.

Trend Micro Worry-Free Business Security Services
Trend Micro Worry-Free Business Security Services ist ein Komplettpaket für Unternehmen, die ihre IT-Sicherheit mit einem Hosted-Protection-Plan abdecken möchten. Besonders für kleine und mittelgroße Unternehmen eignet sich so ein Angebot, wenn sie kein eigenes Sicherheitssystem aufbauen können oder wollen, da Trend Micro die gesamte Wartung der Software-Basis übernimmt. Des Weiteren lässt sich die Lösung linear mit dem Unternehmenswachstum skalieren. Wird der Schutz für weitere Clients notwendig, können problemlos zusätzliche Lizenzen hinzugekauft werden.

Avira AntiVir Professional 10
Avira AntiVir erlangte besonders durch die kostenlose Version der Anti-Viren-Software Bekanntheit, die einen ausreichenden Standard-Schutz für Privatanwender bietet. Avira AntiVir Professional 10 adressiert Unternehmen mit einer gemischten IT-Infrastruktur und höheren Sicherheitsanforderungen als es für den Heimanwender üblich ist. Die Software liegt in einer Windows- sowie einer Linux-Version vor und bietet den Vorteil, dass eine Lizenz für alle Plattformen gültig ist.

F-Secure Anti-Virus 2011
Anti-Virus 2011 von F-Secure zeichnet sich durch seine klare Struktur und Benutzeroberfläche aus, die sich vor allem für Einsteiger anbietet. Zu den Schutzfunktionen gehören die üblichen Mechanismen wie eine Heuristik-Erkennung, Echtzeit-Überwachung verdächtiger Aktivitäten, Quarantäne-Funktion sowie eine Verhaltensanalyse. Eine Firewall besitzt F-Secure Anti-Virus 2011 indessen nicht, die Software ist eine reine Anti-Malware-Lösung.

Geräte, die den Datenverkehr inspizieren, verwenden dafür zwar unterschiedliche Techniken, die meisten arbeiten dabei aber unter anderem mit Protokollanalyse und Signaturerkennung. So werden bestimmte Angriffsmuster von Schädlingen im Datenverkehr erkannt, die Schwachstellen in einem Kommunikationssystem ausnutzen. Bei der Entdeckung einer neuen IT-Bedrohung werden in der Regel innerhalb weniger Tage, manchmal sogar innerhalb weniger Stunden, entsprechende Erkennungsmethoden in den Geräten implementiert. Schadprogramme, die bereits bekannten Bedrohungen ähneln, lassen sich möglicherweise mit bereits bestehenden Analysefunktionen erkennen und abwehren. Die enorme Anzahl möglicher Kombinationsmöglichkeiten von AETs erschweren es IPS-Systemen jedoch beziehungsweise machen es fast unmöglich, die verborgene Attacke im Datenpaket aufzuspüren. AETs lassen sich in so vielen Varianten ändern – manchmal reicht eine minimale Veränderung wie beispielsweise der Byte-Anzahl oder des Segment-Offset – dass sie keinem im IPS-System hinterlegten Angriffsmuster mehr ähneln. Die Folge: Das Sicherheitssystem erkennt den damit verborgenen Schadcode nicht und lässt ihn ungehindert ins Netzwerk. Da kein Alarm auf eine mögliche Bedrohung hinweist, kann sich der Hacker dann zum Beispiel unbehelligt im System nach einer möglichen Schwachstelle oder einem ungepatchten Server umsehen.

Der richtige Blick – Normalisierung

Um auch Advanced Evasion Techniques zu erkennen, müssen IPS-Systeme mehr im Blick haben als nur Merkmale bekannter Schadcodemuster. Denn Sicherheitsapplikationen, die vom Zielhost empfangene Informationen mit Angriffssignaturen vergleichen müssen, können nicht einfach jedes einzelne Paket des Netzwerkverkehrs beobachten. Ebenso wenig reicht es, die Pakete in der richtigen Reihenfolge zu ordnen und alle Fragmente wieder zusammenzusetzen. Deshalb greifen die Funktionen eines klassischen IPS wie Fingerprinting oder signaturbasierte Erkennung, die normalerweise zum Schutz vor Exploits verwendet werden, bei AETs nicht. Sicherheitssysteme müssen vielmehr weitere Möglichkeiten zur Prüfung des Datenverkehrs abdecken, beispielsweise vom Endsystem nicht empfangene Datenpakete oder Protokolle, die auf unterschiedliche Arten entschlüsselt werden können. Der Mechanismus, der diese zusätzlichen Kontrollen umsetzt, heißt Normalisierung. Sicherheitsgeräte, die einen umfassenden Multi-Layer-Normalisierungsprozess durchführen können, interpretieren und setzen Datenpakete vollständig in der gleichen Weise zusammen wie das Endsystem. Zusätzlich berücksichtigen sie auch alle relevanten Protokollschichten für jede Verbindung. Das verringert die Gefahr, dass Datenpakete, die sich nicht nach den Regeln des RFC 791 verhalten, unentdeckt am Sicherheitssystem vorbei ins Netzwerk gelangen können.

Vorbeugender Schutz

Darüber hinaus bieten flexible, softwarebasierte Sicherheitssysteme aktuell den besten Schutz vor dynamischen und sich ständig weiterentwickelnden AETs. Denn im Gegensatz zu hardwarebasierten Lösungen, deren Aktualisierung angesichts der sich rasch verändernden Bedrohungsmuster äußerst schwierig, manchmal sogar unmöglich ist, lassen sich Updates und Sicherheits-Patches bei softwarebasierten Applikationen sofort implementieren. Hilfreich dabei ist eine Managementplattform, mit der Administratoren alle Sicherheitssysteme zentral kontrollieren und verwalten können. Dadurch lassen sich Sicherheitsrichtlinien und Zugriffsregelungen ebenso wie alle Updates von zentraler Stelle aus über das gesamte Netzwerk und tief in der Sicherheitsarchitektur ausrollen, bei Bedarf auch per Fernzugriff. Das ermöglicht eine schnelle Reaktion auf neu entdeckte AET-Muster.

Aktuell gibt es noch keinen hundertprozentigen Schutz vor AETs, da sie sich ständig dynamisch weiterentwickeln. Mit den genannten Maßnahmen können Unternehmen ihr Netzwerk jedoch zumindest bestmöglich vorbeugend davor schützen. Inwieweit AETs bereits für gezielte Angriffen auf Netzwerke zum Einsatz kommen, ist momentan noch unklar. Da AETs keine Spuren hinterlassen, wird ein Angriff meist erst dann bemerkt, wenn der Schadcode bereits im System ist. Mit welcher Methode er am Sicherheitssystem vorbeigeschleust wurde, lässt sich dann nicht mehr feststellen. Die aktuellen Test-Ergebnisse aus den StoneLabs zeigen jedoch, dass einige AETs recht einfach sind. Daher ist es wahrscheinlich, dass Hacker diese Tarntechniken bereits verwenden. Andere AETs sind deutlich komplexer und erfordern tiefer gehendes Wissen sowie mehr Ressourcen. Darüber verfügen jedoch organisierte Cyberkriminelle mit wirtschaftlicher oder auch politischer Motivation. Aus diesem Grund sind vor allem sensible Daten von großen Unternehmen, Behörden oder auch Banken von den neuen raffinierten Evasion-Techniken bedroht. Höchste Zeit also für Anbieter von Sicherheitslösungen, wieder mehr in die Evasion-Forschung zu investieren, um Hackern bei AETs eventuell einen Schritt voraus zu sein. Hierfür hat Stonesoft mit www.antievasion.com eine offene Community-Plattform geschaffen, auf der sich IT-Sicherheitsexperten zum Thema austauschen und gemeinsam an der Entwicklung einer langfristigen Lösung arbeiten können. (ph)