Le Advanced Evasion Techniques : Come ti buco un firewall .

Quando chi attacca sfrutta tutte le caratteristiche dei protocolli.

Le notizie di attacchi informatici “mirati” a grandi aziende , purtroppo sono all’ordine del giorno. Si sono verificate violazioni in aziende quali RSA , nel network Sony … solo per citarne alcune e tantissimi altri ad aziende con bassa visibilità sono innumerevoli.
I “pirati informatici” purtroppo divengono sempre più scaltri e la maggiorparte dei firewall e dei sistemi di Intrusion Prevention ormai possono essere definiti “ciechi” e non più in  grado di garantire una adeguata protezione contro la nuova minaccia delle AET (Advanced Evasion Techniques).

Advanced Evasion Techniques
Tecniche di evasione avanzata

Scenario

Gli “attaccanti” utilizzano sempre le stesse armi, ma il modo in cui farle entrare in contatto con la “vittima” è radicalmente cambiato.
In poche parole, il pacco regalo (il malware) e’ sempre lo stesso ma la metodica di consegna bypasserà tutti i sistemi di sicurezza che non hanno caratteristiche specifiche per contrastare l AET.
Prima  il malware si tentava di introdurlo oltre il firewall mediante attachment , inglobato in video e foto o cercando di far attuare un download forzato dalla vittima.
In questi casi, il pacco regalo era ben chiuso ed identificabile, e un buon analizzatore come un robusto antivirus poteva bloccare il regalo in maniera sicura e veloce.

Ma ora con le AET , il pacco regalo (playloads) viene scomposto prima dell’invio , vengono utilizzati vari protocolli per inviarli al destinatario, per poi riassemblarli dopo la consegna per permettere un attacco APT (Advanced Persistent Threat).
In questo caso non vi e’ antivirus e firewall che tenga, il pacco regalo anche con un fiocco gigantesco, non verrà mai identificato e l’attaccate avrà raggiunto il suo scopo.

Principali Advanced Evasion Techniques

SMB or MSRPC fragmentation
SMB padding
Application layer evasion through document obfuscation
JavaScript obfuscation
HTTP UTF-8 encoded content
HTTP evasion (URL encoding)
TCP Urgent Pointer
TCP split handshake
IP fragmentation
IP fragmentation with chaff

I Moderni Firewall 

I moderni Firewall dovrebbero permettere una normalizzazione multilivello del traffico sull’intero stack ! Fare ispezione e rilevamento dei dati in base al flusso: più efficace dell’ispezione dei singoli pacchetti.
Avere un processo continuo che guarda agli strati 2-7 e a tutti i protocolli (TCP, UDP ecc.) e non avere nessun impatto visibile sulle prestazioni in condizioni “normali” di esercizio con questa migliore condizione di sicurezza.

Aet-Apt
Tecniche di evasione avanzata