Advanced Evasion Techniques (AET)

Die nächste Stufe der Bedrohung? AET

Wer über die Gefahren spricht, die einem Netzwerk und den PC-Systemen darin über den Port 80 drohen, darf dabei auch folgendes Szenario nicht außer Acht lassen: die Advanced Evasion Techniques (AET).

Grundsätzlich dienen Evasion-Techniken (im Englischen steht to evade für das Ausweichen oder Umgehen beispielsweise eines Angriffs oder auch eines Problems) dazu, Malware-Attacken so zu tarnen, dass schädliche Inhalte unentdeckt in ein Netzwerk eingeschleust werden können.

Bei AET handelt es sich um eine Kategorie von Angriffen, mit deren Hilfe sich Schadprogramme so tarnen lassen, dass sie wie ganz normaler Datenverkehr erscheinen und von Sicherheits-Appliances nicht mehr so leicht oder überhaupt nicht zu erkennen sind. Die finnischen Sicherheitsspezialisten der Firma Stonesoft meldeten bereits 2010, dass sie Angriffe mit AFT entdeckt hätten.

Zu diesem Zeitpunkt wurden solche Attacken noch hauptsächlich als ein Problem betrachtet, dass innerhalb eines Netzwerks auftreten könnte und dort vor allen Dingen die korrekte Arbeit der IPS-Appliances (Intrusion Prevention System) aushebeln könnte.

Nun hat die Firma nach eigenen Aussagen aber aktuell feststellen müssen, dass diese Technik vermehrt auch von Angreifer dazu eingesetzt wird, durch AET-Techniken getarnte Programme über den offenen Port 80 unbemerkt von den Sicherheitseinrichtungen in Firmennetzwerke einzuschmuggeln.

Wenn diese Einschätzung der finnischen Sicherheitsexperten zutrifft, so müssen die Anbieter der UTM- und NG-Firewall-Systeme dafür sorgen, dass ihre Produkte auch derart getarnte Angriffe, die sich im Strom des normalen Web-Traffics verbergen, sicher erkennen. Das dürfte bis jetzt nur bei ganz wenigen Produkten der Fall sein.

Für IT-Verantwortliche und Administratoren bedeutet dies, dass hier ein weiteres Bedrohungsszenario im Zusammenhang mit dem HTTP-Port 80 entsteht, das sie wachsam beobachten sollten.