Les CERT (Computer Emergency Response Team) de plusieurs pays ont envoyé des avis à des dizaines de vendeurs de solutions IPS pour les informer de la menace AET (Advanced Evasion Technique) afin qu'ils puissent prendre des mesures pour s'en prémunir. Le CERT finlandais a émis cette alerte, après avoir été informé de la découverte de cette méthode d'intrusion par Stonesoft, fournisseur de solution IPS.

AET ne combine pas simplement des tentatives d'intrusion que les programmes d'IPS combattent facilement, mais cet agencement créé une méthode indétectable, déclare Stonesoft. « Ces techniques ne font pas de dégâts, mais elles donnent des capacités furtives pour les logiciels malveillants pour lui permettre d'atteindre des systèmes ciblés », dit Mark Boltz, architecte senior de solutions pour Stonesoft et d'ajouter « jusqu'ici il n'y a aucune preuve que des AET aient été utilisés de manière anarchique ». Ces dernières sont connues depuis plus d'une décennie et la plupart des systèmes de préventions d'intrusion sont capables de se défendre contre elles, mais en utilisant des combinaisons, elles peuvent contourner les IPS actuels, confirme Mark Boltz. « En mélangeant par pair des AET connues, on obtient 2180 résultats possibles, si on ajoute les combinaisons à trois ou plus, le nombre total de possibilités est encore plus grand » précise-t-il.

Des tests validés

Dans les tests Stonesoft, un ensemble de AET a été utilisé pour cacher des vers Conficker et Sasser. Ils ont été envoyés contre 10 IPS reconnus et classés dans le Magic Quadrant du Gartner. Aucune de ces IPS n'a détecté cette combinaison de techniques d'intrusion. Les tests et l'alerte émis par Stonesoft ont été validés par ICSA Labs, qui a autorisé l'éditeur à simuler une attaque via un VPN Finlandais avec l'aide d'un outil élaboré par l'éditeur de solutions de sécurité. L'attaque a réussi à passer l'IPS installé à l'ICSA en Pennsylvanie, dit Jack Walsh, directeur de l'ICSA, en charge du programme IPS. Le dirigeant affirme que l'AET généré a échappé à la prévention d'intrusion et a donné au vers Conficker la possibilité d'atteindre la cible de serveurs Windows en utilisant la vulnérabilité non corrigée CVE-2008-4250. Conficker a été utilisé car il est bien connu et que les outils de sécurité sont en mesure aujourd'hui de le reconnaître, sauf s'il est masqué.

Un exemple d'une technique simple de fraude est la fragmentation IP, dit Mark Boltz. La méthode permet de fragmenter les différents paquets contenant les logiciels malveillants dans l'espoir que l'IPS ne sera pas capable de reconstituer les paquets et ainsi oublier le malware. Aujourd'hui, la plupart des IPS ont des moteurs qui rassemblent des paquets fragmentés et les analysent. L'URL obscurci est un autre exemple de fraude simple dans lequel une URL est légèrement modifiée de sorte qu'il passe l'IPS sans penser qu'elle a été transformée.

Des combinaisons redoutables

Mais en association, certaines de ces techniques peuvent contourner les IPS. Par exemple, en utilisant une pile TCP / IP de leur propre conception, les chercheurs Stonesoft ont profité de l'horloge TCP, pour notifier aux machines des délais de réception et ainsi laisser ouvert les ports TCP en prévision d'une communication ultérieure. En se connectant à un ordinateur cible et immédiatement fermer la session, la pile TCP / IP peut alors démarrer une nouvelle session par les ports encore ouverts et l'utiliser pour transmettre les logiciels malveillants. Parce que l'IPS a déjà vérifié la connexion initiale était correcte et que les informations autorisaient une communication ultérieure. Stonesoft garde confidentiel son outil AET.

 

Crédit Photo: D.R