Avanserte unndragelsesteknikker tillater stealthy perimeterattacker

En venn og en IT-type ringte forrige uke. "Hva vet du om AET?" Ikke ønsker å fremstå som mangelfull, jeg googled det raskt mens jeg spurte om familien hennes - glatt, ikke sant? Det var mange lenker, men ingenting av interesse for noen av oss. Flott.

Med så mye dekor som jeg kunne mønstre, sa jeg: "Hvorfor tenker du å kjøpe solcellepaneler?" (Alternate Energy Technologies var den første hiten på Google som ga mening.)

"Hva i all verden snakker du om?" hun spurte. "Det har du ingen anelse om?"

Tid for meg å fess opp. "Nei."

"Jeg vet at du søker akkurat nå, så slå opp Advanced Evasion Technique (AET)." Det gjorde jeg, og det var ikke mye å finne. Men jeg hadde en ide. Hvis det er avanserte teknikker, må det også være vanlige.

Heldigvis kom Wikipedia til unnsetning med oppføringen: Evasion Techniques for Intrusion Detection System.

"Evasion er et begrep som brukes for å beskrive teknikker for å omgå en informasjonssikkerhetsenhet for å levere en utnyttelse, angrep eller annen skadelig programvare til et målnettverk eller system, uten å oppdage."

Unngåtteknikker har vært snakket om siden 1998. Hvor har jeg vært? Enda viktigere, hva er AET-er? Jeg ba vennen min om at jeg skulle sjekke det. Den første til å finne noe vinner; ups, jeg mener samtaler.

Spill på.

Avanserte unnvikelsesteknikker

Jeg hadde en ide. Jeg har bedt Rick Moy, administrerende direktør i NSS Labs om hans hjelp mange ganger før. Og en NSS Lab forte er pennetesting av omkretsenheter. Her er hva han hadde å si om AETs:

"Unngåelser lar en angriper skjule eller skjule sine angrep for å omgå sikkerhetsprodukter. AETer er kombinasjoner av unndragelser som gjør dem enda vanskeligere å fange.

AET er en nylig markedsføringsterm, og sannsynligvis derfor den ikke er populær ennå. Uansett er trusselen forårsaket av AET-er veldig reell. Mennesker bør være bekymret og sikre at sikkerheten deres kan takle dem.

NSS har testet unndragelser i mange år, og AET-er er en stor del av testingen vår i år. "

Rick sa at NSS Labs allerede tester for AET-er var enormt. Med litt sleuthing kunne jeg lære at Rick testet produkter utviklet av Stonesoft.com. Og Stoneoft har et nettsted, Antievasion.com, dedikert til AET-forskning.

En telefonsamtale var nå i orden, men ikke til min konkurrerende venn - ikke bare ennå. I stedet fikk jeg kontakt med menneskene på Stonesoft og fortalte dem om min vanskeligheter. Heather Pritchett, PR-talsperson, fungerte som min formidler:

Kassner : Begrepet "unnvikelsesteknikker" brukes ikke mye. Hva betyr det for Stonesoft? Stonesoft : Teknisk sett er unnvikelsesteknikker en metode for, som Rick sa, å skjule et angrep på en spesiallaget måte for å unngå påvisning av IPS / IDS med den hensikt å levere et angrep til det tiltenkte målet.

Mer enn det representerer unnvikelsesteknikker et område med IPS / IDS-forskning som i stor grad har blitt forsømt på grunn av deres noe esoteriske natur sammenlignet med hypen som omgir andre trusler som "null-dagers" angrep, ormer og andre lettere å gjøre fordøye konsepter. Stonesoft anser unndragelser som særlig viktig fordi det med den rette motivasjonen (pengene) å unngå en IPS ikke er så vanskelig.

Og for hackere, med dollartegn i øynene, er det vel verdt tiden å gjøre en liten investering av tid og energi for å utvikle automatiserte verktøy for å generere mange kombinasjoner av unnvikelser i et forsøk på å skli forbi IPS / IDS. Derfor er Stonesoft villig til å investere tid og krefter i å perfeksjonere hvordan normalisering gjøres og dele vår forskning med sikkerhetssamfunnet.

Kassner : Vil du anta at Intrusion Detection Systems (IDS) og Intrusion Prevention Systems (IPS) er hovedforsvaret mot mainstream evasion-teknikker? Er de effektive? Stonesoft : Ja. IPS / IDS-enheter er godt egnet til oppgaven. De er vanligvis dedikerte enheter som har som mål å bestemme om informasjonen de ser fører til et angrep. En del av dette er å oppdage forsøk på å skjule angrepet ved å få datastrømmen til å se feil, merkelig ut eller bare forvirrende.

For det meste er IPS / IDS-enheter ganske gode på dette, så lenge unnvikelsesteknikken i bruk ikke går for langt utenfor grensene for tradisjonelle unndragelsesteknikker. Når unnvikelser utføres på flere nivåer av stabelen, samtidig, synker effektiviteten til IPS / IDS-enheter stupbratt.

Kassner : Jeg leste at i 2010 tok Softstone på seg en unik utfordring. Utviklingsteamet bestemte seg for å bli eksperter på unndragelsesteknikker for å utvikle evner mot unndragelse. Hvordan fungerte det? Stonesoft : Vi ble overrasket over hva vi fant. Verktøyene som kreves for å skape avanserte unnvikelser er godt innenfor hackernes midler. Dessuten er enkle kombinasjoner av unnvikelser ganske effektive til å omgå de fleste IPS / IDS-enheter på markedet i dag.

Dette førte til at vi undersøkte måter å forbedre IPS / IDS-enheter og måter å forbedre normaliseringen på lang sikt. Forskningen utsatte noen svakheter i moderne IPS / IDS-enheter som krever øyeblikkelig oppmerksomhet for å sikre at IPS / IDS-enheter gir beskyttelsen som kundene forventer. Hackere blir ikke lett frisket. Penger er en kraftig motivator.

Kassner : I løpet av undersøkelsen fant Stonesoft-forskere det de kaller Advanced Evasion Techniques (AET), 23 av dem, faktisk. Hva er annerledes med AETer? Stonesoft : I et nøtteskall innebærer tradisjonelle unndragelsesteknikker for IDS / IPS-enheter spesifikke manipulasjoner i ett lag av OSI-modellen.

Ved IP-laget kan man for eksempel fragmentere pakken i et forsøk på å forvirre IPS eller overvelde dens evne til å gi mening om en haug med fragmenter. Heldigvis er denne teknikken og andre lignende velkjente.

AETer involverer på den annen side flere manipulasjoner til flere lag av OSI-modellen, samtidig. Et godt eksempel ville være å segmentere en pakke på TCP-nivået og deretter reversere rekkefølgen på dataene som mottakende vert ser på et annet lag.

Når en unndragelse brukes, er IPS / IDS-enheter flinke til å oppdage dem. Imidlertid, når flere unndragelser brukes i den samme pakken, har IPS / IDS-enheter en vanskelig tid med å gi mening for pakken, en prosess som kalles normalisering.

Når en pakke ikke kan normaliseres riktig, for eksempel, kan ikke IPS / IDS lage hoder eller haler av det den ser. Da, etter design, må IPS / IDS tillate pakken, og derved tillate en ondsinnet nyttelast den kan ha med seg. Der brannmurer har en standard nekter holdning, har IPS / IDS en standard tillat holdning.

Som referanse deler OSI-modellen kommunikasjonen over internett ned i lag. For eksempel:

  • Lag 7: Applikasjon (Eksempelprotokoll: HTTP, SMTP)
  • Lag 6: Presentasjon (Eksempelprotokoll: ASCII)
  • Lag 5: økt (eksempelprotokoll: MSRPC)
  • Lag 4: Transport (Eksempelprotokoll: TCP)
  • Lag 3: Nettverk (Eksempelprotokoll: IP)
  • Lag 2: Data Link (Eksempelprotokoll: ARP)
  • Lag 1: Fysisk tilkobling

En manipulasjon i ethvert lag, og en IPS / IDS vil sannsynligvis fange den. Manipulerer mer enn ett, kreativt, og det er et annet ballspill. Hvis en angriper med hell kan opprette en pakke som i tilstrekkelig grad overvurderer IPS / IDSs evne til å forstå det (normalisering), går den gjennom.

Kassner : Hva har Stonesoft tenkt å gjøre med forskningen sin? Hvordan reagerer sikkerhetssamfunnet på funnene dine? Stonesoft : Fra i fjor har vi jobbet med CERT for å avsløre eksempler på unndragelsene vi har testet. Vi gjør dette i et forsøk på å pusse sikkerhetssamfunnet for å rette opp svakhetene i muligheten til IPS / IDS-enhet til å oppdage unndragelser hvis mer enn en brukes samtidig.

Reaksjoner på vår forskning har vært en blanding av skepsis og bekymring. Noen mener at AET-er er upraktiske og usannsynlige, mens andre ser på dette som et logisk neste trinn for hackere i den uendelige kampen for å tjene mer penger på informasjon på nettet.

Mange har spurt om disse AET-ene er observert i naturen. På grunn av deres art og at mekanismene er dårlig tilpasset for å identifisere dem, er det ganske mulig at de allerede er i bruk. For det formål føler vi forskning på dette området er berettiget og vel verdt det for å gi et best mulig beskyttelsesnivå.

Siste tanker

En annen initialisme er ikke det jeg ønsket. Uansett. AETer er her enten jeg liker det eller ikke. Og inntil IDS / IPS-utviklere kan finne ut av det, må vi være ekstra forsiktige.

Glemte nesten. Jeg ringte endelig vennen min. Hun var ganske spent. Men ikke om AET-er. Hun har nettopp kjøpt et solcelleladingssystem til sin iPhone.

© Copyright 2020 | mobilegn.com