Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : de nouvelles informations sur les AETs ("Advanced Evasion Techniques")

octobre 2010 par CERT-XMCO

 Date : 26 Octobre 2010

 Gravité : Moyenne

 Description :
La semaine dernière, le CERT-FI et la société spécialisée dans les IDS/IPS Stonesoft ont publié une annonce "fracassante" sur l’existence de techniques actuellement utilisées par les pirates pour contourner les systèmes de sécurité tels que les IDS. Stonesoft avait alors nommé ces nouvelles technique du nom d’"AET" pour "Advanced Evasion Techniques", en réponse aux "APT" ("Advanced Persistent Threat") dont les experts sécurité ont régulièrement parlé cette dernière année.

Plusieurs sources ont traité le sujet des AET :

http://www.securityvibes.com/community/fr/blog/2010/10/18/de-nouvelles-techniques-d%C3%A9vasions-ips-et-pas-de-traces-dans-les-journaux

http://www.securityvibes.com/community/fr/blog/2010/10/19/aet-des-%C3%A9vasions-pas-si-neuves-que-%C3%A7a

http://sid.rstack.org/blog/index.php/439-les-aet-le-nouveau-fleau-de-l-internet

http://sid.rstack.org/blog/index.php/440-aet-contenu-partiel-et-reflexions

Pour résumer, il s’agit de l’extension (non documentée) des techniques de base connues (passage de 12 techniques à environ 200) de longue date permettant de contourner le processus de détection des solutions logicielles spécialisées. Stonesoft avait déjà parlé de ces techniques dans le cadre de la conférence Hack.Lu en 2009. Plusieurs présentations sont disponibles sur le sujet sur Internet :

http://2010.hack.lu/archive/2009/stonesoft-ids-evasion-hacklu2009.pptx

http://www.antievasion.com/wp-content/uploads/2010/10/AET-Technical-Presentation.ppt

Il semblerait que cette nouvelle soit plus du recyclage d’information qu’une réelle nouveauté. Les éléments actuels en notre possession nous poussent à penser qu’il s’agirait plus d’un coup de communication/marketing à l’approche de la sortie de la solution Stonesoft qu’autre chose...

SourceFire, l’éditeur de Snort a par ailleurs réagi à ces différentes annonces. Celui-ci n’aurait pas encore observé l’utilisation de ces techniques dans la nature, mais note que ces systèmes réagissent "correctement" lorsqu’ils sont amenés à traiter des communications utilisant ces AETs.

Dans tous les cas, Stonesoft et le CERT-Fi devraient revenir le 23 novembre sur le devant de la scène pour présenter publiquement les informations en leurs possessions.

- Référence :

http://vrt-sourcefire.blogspot.com/2010/10/some-facts-about-advanced-evasion.html

http://www.securityvibes.com/community/fr/blog/2010/10/18/de-nouvelles-techniques-d%C3%A9vasions-ips-et-pas-de-traces-dans-les-journaux

http://www.securityvibes.com/community/fr/blog/2010/10/19/aet-des-%C3%A9vasions-pas-si-neuves-que-%C3%A7a

http://sid.rstack.org/blog/index.php/439-les-aet-le-nouveau-fleau-de-l-internet

http://sid.rstack.org/blog/index.php/440-aet-contenu-partiel-et-reflexions

http://2010.hack.lu/archive/2009/stonesoft-ids-evasion-hacklu2009.pptx

http://www.antievasion.com/wp-content/uploads/2010/10/AET-Technical-Presentation.pp

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1471


Voir les articles précédents

    

Voir les articles suivants