Insecure in Security – ”AET gör det möjligt för hackare att dansa förbi avancerade brandväggar”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om hur AET enkelt tar sig förbi brandväggar.

AET gör det möjligt för hackare att dansa förbi avancerade brandväggar
Det har nu gått sex år sedan Stonesoft (numera en del av McAfee) för första gången offentliggjorde sina studier på AET (Advanced Evasion Techniques), en teknik som används för att kringgå brandväggar. Fortfarande idag så är vetskapen och kunskaperna kring AET väldigt låga och jag tänkte avsätta lite tid för att förklara vad AET är, hur det fungerar och hur ni kan testa er egen miljö. Metoden AET används flitigt idag men de flesta jag träffar i mitt yrke tror att det är ett marknadsförings trick och inte ett seriöst hot. Jag hoppas att det här inlägget kan få er läsare att fundera en extra gång och kanske tvätta bort marknadsföringsstämpeln lite.

AET är inte i sig skadlig kod, virus eller något liknande – det är en metod för att gör nätverksintrång och attacker osynliga för brandväggar och IPS:er. Det finns en mängd olika sätt, varianter och protokoll som kan användas för att utföra en AET-attack men jag kommer undvika att gå in på alltför tekniska detaljer utan förklara lite svepande hur det fungerar.

På bilden ovan till vänster har vi individen som ska utföra attacken, i mitten en brandvägg och till höger nätverket som är mål för attacken. Angriparen användaer AET för att dela upp attacken i en mängd olika delar och skickar sedan informationen till brandväggen på det viset, ihop med skräpkod och över en mängd olika protokoll. När alla bitar av den skadliga koden väl är på andra sidan brandväggen så bygger den ihop sig igen, i detta exempel till en APT, för att sedan få tillgång till datorn eller nätverket. Sedan används AET för att slussa ut information genom brandväggen utan att någon vet att det äger rum.

AET har blivit ett populärt verktyg eftersom att det ger angriparen möjlighet att använda gamla, upptäckta hot som ofta går att få tag i helt gratis. Även om brandväggen i sig, har signaturen för att upptäcka hotet sedan tidigare så gör AET att redan välkänd kod blir osynlig. I vanliga fall måste så kallade ”zero-day threats”, det vill säga tidigare oupptäckta säkerhetshål, användas för att obemärkt tränga igenom en brandvägg. Det är dock extremt kostsamt att köpa eller utveckla avancerade versioner av skadlig kod, ofta kostar denna typ av nya versioner upp emot 500 000 USD. Detta gör AET till ett mycket mer kostnadseffektivt alternativ som ger angriparen möjlighet att använda äldre versioner av APT.

Så hur allvarligt är då AET för företag idag? I april förra året utfördes ett oberoende test av en mängd leverantörer av brandväggar av University of South Wales. Det visade sig att de flesta brandväggsleverantörerna släpper igenom 34 – 49 procent av samtliga AET-attacker. Detta betyder att de undersökta brandväggarna inte skyddar mot AET-attacker och dessa nätverk är med andra ord öppna för den här typen av attack.

Även om detta kan utläsas som klassisk skrämselpropaganda så hoppas jag att ni tar er tid och testar er egna miljö. Det enklaste sättet att göra det på är att ladda ner Mcafee Evader.

Evader är enkelt att använda och ger dig möjlighet att testa din nuvarande nätverksutrustning mot AET-attacker. Du behöver inte vara en expert för att använda vektyget utan det är framtaget så att nästan vem som helst ska kunna testa det.

Att ha ett oskyddat nätverk för något som varit känt i mer än sex år kan tyckas vara att utsätta sig för risker helt i onödan – men det är fortfarande väldigt vanligt.

Om du har några frågor eller kommentarer om AET så kan du kontakta mig på james_tucker@mcafee.com