Methoden zur Umgehung von IPS-Systemen und deren Abwehr

Transkript

1 Methoden zur Umgehung von IPS-Systemen und deren Abwehr 69. DFN Betriebstagung Hendrik Walter, avency GmbH

2 Intrusion Detection und Prevention Systeme Ein IPS schützt das Netzwerk inklusive aller Endgeräte Ein IPS ermöglicht das virtuelle Patchen von Servern und Diensten Viele IPS agieren als Web Applikationsfirewall (WAF) IPS/IDS stellen eine Risikominimierungsmaßnahme gegen die Ausnutzung von Schwachstellen durch Angreifer dar. Oktober 18 2

3 Intrusion Detection und Prevention Systeme Viele IDS/IPS Systeme funktionieren nach dem Prinzip des Musterabgleichs (engl. Pattern Matching). Jeder Angriff, der eine Schwachstelle ausnutzen will, wird anhand einer Signatur oder eines Fingerprint erkannt (Dasselbe Prinzip wird bei Antivirensoftware verwendet). Erkennt das IT-Sicherheitssystem diese Signatur wird der Angriff identifiziert und kann verhindert werden. Oktober 18 3

4 Was sind Evasions? Professionelle Angreifer sind in der Lage ihre Angriffe so zu verschleiern und zu tarnen, dass ein IDS oder IPS den Angriff nicht erkennt, obwohl es über eine Signatur von diesem Angriff verfügt. Diese verschleierten und getarnten Angriffe nennt man Advanced Evasion Techniques (AETs). Fast alle IT-Sicherheitssysteme können ohne großen Aufwand mit AETs umgangen werden. Oktober 18 4

5 Was sind Evasions? Evasions verändern und manipulieren protokollspezifische Daten Ignorieren von strikten Protokollspezifikationen Verwendung seltener Protokollparameter Hinzufügen von weiteren Informationen Fragmentierung, sodass IT- Sicherheitssysteme auf Basis von Signaturen nicht mehr in der Lage sind diese Angriffe zu erkennen Oktober 18 5

6 Was sind Evasions? Evasions sind auf jede TCP/IP Netzwerkschicht (Network Layer) und auf jedes Protokoll möglich wie zum Beispiel: Netzwerkschicht 2: Evasions auf das IP Protokoll Netzwerkschicht 3: Evasions auf das TCP Protokoll Netzwerkschicht 4: Evasions auf die HTTP, SMB, NetBIOS Protokolle Oktober 18 6

7 Warum funktioniert das? Historie Die Implementierung eines (Internet) Protokolls muss robust sein. Eine Implementierung soll sich beim Senden von Daten konservativ und beim Empfangen von Daten liberal verhalten. RFC DoD standard Internet Protocol, January 1980 Oktober 18 7

8 Beispiel: TCP Overlap Evasion Ziel: Die Zeichenkette Payload is evil trotz Signatur durch das IPS schleusen. 1 Wir senden ein TCP Segment mit dem Inhalt Payload is good (Länge: 15 Bytes) Das Segment (Sequenz Nummer 1000) wird vom IPS als unbedenklich eingestuft. 2 Der Angreifer sendet danach ein Segment mit dem Inhalt evil, this is bad. Die Sequenznummer ist aber nicht 1016 sondern Der Inhalt ist unbedenklich. 3 Das Zielsystem setzt die Segmente zusammen, dann überschreibt das zweite Segment die letzten 4 Bytes vom ersten Segment. Was das Zielsystem sieht ist: Payload is evil, this is bad. Oktober 18 8

9 Advanced Evasion Techniques Im Jahr 2007 begann die Firma Stonesoft (heute Forcepoint) mit der Forschung im Bereich getarnte Angriffe oder Advanced Evasions. Stonesoft entwickelte ein Tool Namens Evader, mit dem sich Evasions auf verschiedenen Protokollen kombinieren lassen. (Advanced Evasion Techniques) Die Ergebnisse der Forschungsarbeiten waren ernüchternd, denn man konnte alle namhaften IDS/IPS ohne große Schwierigkeit umgehen. Das wurde der Öffentlichkeit in 2010 bei einer Pressemitteilung bekannt gemacht. Oktober 18 9

10 Advanced Evasion Techniques Die Herausforderung beim Schutz vor AET ist deren Vielfältigkeit an Variationen, denn bei z.b. 4 Evasions, kann man sie in 16 Variationen kombinieren. Mit dem Evader Tool man mehr als 163 Evasions kombinieren. Man hat also theoretisch Möglichkeiten. Anders ausgedrückt gibt es mindestens einzigartige Evasions Oktober 18 10

11 Beispiel für einen AET Angriff 1. Maximale Fragmentierung der Daten auf allen Schichten (sehr viele und sehr kleine Pakete) 2. Ungeordnetes und mehrfaches Senden der Pakete (zufällige Reihenfolge) 3. Eine gewisse Zeit zwischen dem Senden der einzelnen Pakete warten (Verzögerung) Oktober 18 11

12 Schutzmaßnahmen gegen AET Der effektivste Schutz gegen getarnte Angriffe ist nicht die Verwendung von Signaturen oder Fingerprints, sondern Traffic Normalisierung! Das bedeutet, dass das IT-Sicherheitsgerät den Verkehr so verstehen muss, als ob dieser für das IDS/IPS selbst bestimmt wäre. Alle versuchten Manipulationen auf dem gesamten Verkehr und auf allen Netzwerkschichten werden so erkannt. Oktober 18 12

13 Schutzmaßnahmen gegen AET Klassischer vertikaler Ansatz (Kein Schutz gegen AETs): Oktober 18 13

14 Schutzmaßnahmen gegen AET Horizontaler Ansatz (effektiver Schutz gegen AETs): Oktober 18 14

15 Fazit Signaturen oder Fingerprints bieten gegen AETs keinen Schutz! Deswegen meiden viele Hersteller effektive Maßnahmen gegen AET zu treffen, denn das würde bedeuteten, dass sie die Architektur ihrer IT-Sicherheitssysteme ändern müssen. 100% Schutz gegen Evasions gibt es nicht. Die beste Methode gegen Schwachstellen ist immer noch, diese auf dem betroffenen System zu entfernen! Oktober 18 15

16 Aber mein Hersteller sagt 100% Evasion Resistenz laut NSS Labs für Sophos XG 2018 Oktober 18 16

17 Wir überprüfen das mal (Live Demo) Advanced Evasion Techniques Oktober 18 17

18 Vielen Dank für Ihre Aufmerksamkeit! There are two types of chief information security officers: Those that have been attacked, and those who don t know they ve been attacked. Electronic Art s vice-president and chief information security officer Spencer Mott, 2012 Oktober 18 18