Le Advanced Evasion Techniques : Come ti buco un firewall .

3 Agosto 20187 Dicembre 2022 Giovanni Popolizio Advanced Evasion Techniques, computer networking, firewall, tcp/ip

Quando chi attacca sfrutta tutte le caratteristiche dei protocolli.

Le notizie di attacchi informatici “mirati” a grandi aziende , purtroppo sono all’ordine del giorno. Si sono verificate violazioni in aziende quali RSA , nel network Sony … solo per citarne alcune e tantissimi altri ad aziende con bassa visibilità sono innumerevoli.
I “pirati informatici” purtroppo divengono sempre più scaltri e la maggiorparte dei firewall e dei sistemi di Intrusion Prevention ormai possono essere definiti “ciechi” e non più in grado di garantire una adeguata protezione contro la nuova minaccia delle AET (Advanced Evasion Techniques).

Advanced Evasion Techniques — Tecniche di evasione avanzata

Scenario

Gli “attaccanti” utilizzano sempre le stesse armi, ma il modo in cui farle entrare in contatto con la “vittima” è radicalmente cambiato.
In poche parole, il pacco regalo (il malware) e’ sempre lo stesso ma la metodica di consegna bypasserà tutti i sistemi di sicurezza che non hanno caratteristiche specifiche per contrastare l AET.
Prima il malware si tentava di introdurlo oltre il firewall mediante attachment , inglobato in video e foto o cercando di far attuare un download forzato dalla vittima.
In questi casi, il pacco regalo era ben chiuso ed identificabile, e un buon analizzatore come un robusto antivirus poteva bloccare il regalo in maniera sicura e veloce.

Ma ora con le AET , il pacco regalo (playloads) viene scomposto prima dell’invio , vengono utilizzati vari protocolli per inviarli al destinatario, per poi riassemblarli dopo la consegna per permettere un attacco APT (Advanced Persistent Threat).
In questo caso non vi e’ antivirus e firewall che tenga, il pacco regalo anche con un fiocco gigantesco, non verrà mai identificato e l’attaccate avrà raggiunto il suo scopo.

Principali Advanced Evasion Techniques

SMB or MSRPC fragmentation
SMB padding
Application layer evasion through document obfuscation
JavaScript obfuscation
HTTP UTF-8 encoded content
HTTP evasion (URL encoding)
TCP Urgent Pointer
TCP split handshake
IP fragmentation
IP fragmentation with chaff

I Moderni Firewall

I moderni Firewall dovrebbero permettere una normalizzazione multilivello del traffico sull’intero stack ! Fare ispezione e rilevamento dei dati in base al flusso: più efficace dell’ispezione dei singoli pacchetti.
Avere un processo continuo che guarda agli strati 2-7 e a tutti i protocolli (TCP, UDP ecc.) e non avere nessun impatto visibile sulle prestazioni in condizioni “normali” di esercizio con questa migliore condizione di sicurezza.