CERT-XMCO : de nouvelles informations sur les AETs ("Advanced Evasion Techniques")
octobre 2010 par CERT-XMCO
– Date : 26 Octobre 2010
– Gravité : Moyenne
– Description :
La semaine dernière, le CERT-FI et la société spécialisée dans les IDS/IPS Stonesoft ont publié une annonce "fracassante" sur l’existence de techniques actuellement utilisées par les pirates pour contourner les systèmes de sécurité tels que les IDS. Stonesoft avait alors nommé ces nouvelles technique du nom d’"AET" pour "Advanced Evasion Techniques", en réponse aux "APT" ("Advanced Persistent Threat") dont les experts sécurité ont régulièrement parlé cette dernière année.
Plusieurs sources ont traité le sujet des AET :
http://sid.rstack.org/blog/index.php/439-les-aet-le-nouveau-fleau-de-l-internet
http://sid.rstack.org/blog/index.php/440-aet-contenu-partiel-et-reflexions
Pour résumer, il s’agit de l’extension (non documentée) des techniques de base connues (passage de 12 techniques à environ 200) de longue date permettant de contourner le processus de détection des solutions logicielles spécialisées. Stonesoft avait déjà parlé de ces techniques dans le cadre de la conférence Hack.Lu en 2009. Plusieurs présentations sont disponibles sur le sujet sur Internet :
http://2010.hack.lu/archive/2009/stonesoft-ids-evasion-hacklu2009.pptx
http://www.antievasion.com/wp-content/uploads/2010/10/AET-Technical-Presentation.ppt
Il semblerait que cette nouvelle soit plus du recyclage d’information qu’une réelle nouveauté. Les éléments actuels en notre possession nous poussent à penser qu’il s’agirait plus d’un coup de communication/marketing à l’approche de la sortie de la solution Stonesoft qu’autre chose...
SourceFire, l’éditeur de Snort a par ailleurs réagi à ces différentes annonces. Celui-ci n’aurait pas encore observé l’utilisation de ces techniques dans la nature, mais note que ces systèmes réagissent "correctement" lorsqu’ils sont amenés à traiter des communications utilisant ces AETs.
Dans tous les cas, Stonesoft et le CERT-Fi devraient revenir le 23 novembre sur le devant de la scène pour présenter publiquement les informations en leurs possessions.
- Référence :
http://vrt-sourcefire.blogspot.com/2010/10/some-facts-about-advanced-evasion.html
http://sid.rstack.org/blog/index.php/439-les-aet-le-nouveau-fleau-de-l-internet
http://sid.rstack.org/blog/index.php/440-aet-contenu-partiel-et-reflexions
http://2010.hack.lu/archive/2009/stonesoft-ids-evasion-hacklu2009.pptx
http://www.antievasion.com/wp-content/uploads/2010/10/AET-Technical-Presentation.pp
- Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-1471