Schutz vor Advanced Evasion Techniques – und darüber hinaus (Teil 2)

Schutz vor Advanced Evasion Techniques – und darüber hinaus (Teil 2)

Advanced Evasion Techniques sind getarnte Angriffsmethoden, die verwendet werden, um Sicherheitslücken gezielt auszunutzen. Im zweiten Teil dieses Beitrags erklärt IT-Sicherheitsforscher Steffen Ullrich weitere Techniken und zeigt auf, welche IT-Sicherheitslösungen Schutz bieten.

Umgehung durch Mehrfachkompression

Der HTTP-Standard erlaubt theoretisch, die übertragenen Inhalte mehrfach zu komprimieren, sowohl mit unterschiedlichen, als auch mit gleichen Kompressionsalgorithmen. So bedeutet das folgende Beispiel, dass die Inhalte zuerst mit gzip und nachfolgend mit deflate komprimiert wurden:

HTTP/1.1 200 ok
Content-Type: application/octet-stream
Content-Encoding: gzip
Content-Encoding: deflate

...zuerst komprimiert mit gzip, dann mit deflate...

Man kann sicherlich die Frage stellen, wozu dieses in der Praxis gut sein soll. Aber die verbreitetsten Browser wie Chrome und Firefox implementieren den Standard tatsächlich wie spezifiziert, entpacken also in obigem Beispiel die Daten zuerst mit deflate und danach mit gzip, um so an den ursprünglichen Inhalt zu gelangen. Microsoft Internet-Explorer und Edge hingegen verstehen Mehrfachkompression nicht und gehen in diesem Falle davon aus, dass der Inhalt gar nicht komprimiert ist. Und Safari wiederum benutzt nur die erste Angabe, also gzip in diesem Beispiel.

Ähnlich durchwachsen ist auch die Unterstützung in Firewalls. So konnte in unseren Untersuchungen im September 2015 bekannte Malware unerkannt durch mehr als 50 % der Firewalls transportiert werden.

Umgehung durch alte Protokolle

Die heute meistgenutzte Protokollversion von HTTP ist HTTP/1.1, welches 1999 spezifiziert wurde. Der Vorgänger davon war die sehr ähnliche Protokollversion HTTP/1.0 von 1996. Davor jedoch gab es die ursprüngliche Version des HTTP Protokolls, HTTP 0.9. Diese Version hatte im Gegensatz zu HTTP/1.x keine Trennung in Header und Body. Stattdessen wurde direkt der eigentliche Inhalt geliefert und mit dem Ende der TCP-Verbindung abgeschlossen.

Obgleich HTTP 0.9 seit 20 Jahren obsolet und praktisch irrelevant ist, wird es von den meisten Browsern weiterhin verstanden. Und auch in diesem Fall zeigt sich erneut, dass Firewalls nur die typischerweise genutzten Protokollbestandteile korrekt verstehen und im Zweifelsfalle die Daten einfach ungefiltert durchlassen. So zeigten die Untersuchungen im September 2015, dass bei Nutzung von HTTP 0.9 ca. 60 % der Firewalls die Malware ungefiltert passieren ließen.

Testen der eigenen Verwundbarkeit

Die bisherigen Beispiele zeigen nur einen kleinen Ausschnitt aus den vielfältigen Umgehungen, welche wir bei unseren Untersuchungen entdeckt haben. Zusätzlich fanden wir noch Umgehungen durch manipulierte gzip-Kompression, stückweise Übertragung der Daten (chunked Transfer-Encoding) durch unerwartete Art oder Position von Leerzeichen und vieles mehr.

Um möglichst einfach die Resistenz einer Firewall gegenüber derartigen Umgehungen zu überprüfen, haben wir ein Testsystem aufgebaut, das einfach mit einem Browser benutzt werden kann. Als Tester braucht man dabei nur auf einem von der zu testenden Firewall geschützten System mit dem Webbrowser eine Seite auf dem Testserver aufzurufen. Schon nach wenigen Minuten hat man einen guten Eindruck von der Qualität der Firewall. In dieser Zeit wird automatisiert versucht, in über 750 Varianten von HTTP-Antworten den ungefährlichen und von Firewalls üblicherweise erkannten EICAR-Testvirus vom Testserver zum Browser durch die Firewall hindurch zu übermitteln.

Um Informationen über möglichst viele verschiedene Firewall-Produkte zu bekommen, haben wir im September 2015 einen entsprechenden öffentlichen Testserver in das Internet gestellt und Interessierte zum Testen eingeladen. Auf diese Weise bekamen wir innerhalb von wenigen Wochen einen Überblick über die Resistenz verschiedener Firewalls gegen derartige Umgehungen. Das Ergebnis war selbst für uns unerwartet: Praktisch keines der getesteten Systeme war resistent gegen sämtliche Umgehungen. Die meisten Firewalls ließen sich selbst mit den beschriebenen trivialen Methoden bereits umgehen.

Unter anderem, weil wir viele betroffene Hersteller kontaktierten, hat sich die Situation seit unseren initialen Tests im September 2015 etwas verbessert. Jedoch wurden in den meisten Fällen die Probleme von den Herstellern nicht vollständig beseitigt, sodass die meisten Produkte auch mehr als ein Jahr später noch betroffen sind. Die Firewall genugate hingegen ist durch unsere strikte Protokollnormalisierung bereits seit Mitte 2014 in der Standardkonfiguration resistent gegen alle von uns gefundenen Umgehungen, also weit bevor wir überhaupt einen Großteil der Umgehungen entdeckt haben. Für die Mehrheit der Firewalls ergibt sich bei einem Besuch des weiterhin verfügbaren öffentlichen Testservers hingegen immer noch eher das folgende Bild im Browser:

Weitere Forschungen zu Umgehungstechniken

Die auch für uns überraschend schlechte Resistenz von Firewalls gegen Umgehungen auf Ebene des HTTP-Protokolls motivierte uns, weitere Forschungen zur Umgehung auf Applikationsebene zu betreiben. Aktuell untersuchen wir Möglichkeiten, die Analyse mit Hilfe von manipulierten Mails zu umgehen. Auch hier haben wir bereits eine Vielfalt von Umgehungen von Firewalls, Intrusion Detection Systemen, Mail-Filtern und Antiviren-Produkten gefunden.

Zusammenfassung

  • Application Level Gateways wie die Firewall genugate sind prinzipbedingt nicht durch die sogenannten Advanced Evasion Threats (AET) auf Paketebene betroffen. Diese Umgehungsmöglichkeiten sind ein Nebeneffekt der Analyse mittels Deep Packet Inspection, welche Performance über Qualität und damit Sicherheit stellt.
  • Praktisch keine Firewall war bei den initialen Tests im September 2015 resistent gegen Umgehungen mittels ungewöhnlicher Antworten eines Webservers. Trotz zwischenzeitlicher Verbesserungen an einigen Produkten sind die meisten Firewalls weiterhin nicht vollständig resistent gegen derartige Umgehungen.
  • Wir setzen unsere Erforschung von Umgehungen auf Applikationsebene fort und haben bereits weitere, bisher unveröffentlichte, Umgehungen einer Vielzahl von Produkten über manipulierte Mails entdeckt.

Treffen Sie genua!

Zum Thema "Umgehung von Firewalls auf Applikationsebene" hält IT-Sicherheitsforscher und Blog-Autor Steffen Ullrich einen Vortrag auf dem 15. Deutschen IT-Sicherheitskongress, der vom 16. bis 18. Mai 2017 in der Stadthalle Bad-Godesberg in Bonn stattfindet. Weitere Infos folgen!

 

Bildquelle: ©  psdesign1 - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.