Intrusion Detection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Transkript

1 Thomas Stein Intrusion Detection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag

2 Thomas Stein Intrusion Detection System Evasion durch Angriffsverschleierung in Exploiting Frameworks ISBN: Herstellung: Diplomica Verlag GmbH, Hamburg, 2010 Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtes. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Die Informationen in diesem Werk wurden mit Sorgfalt erarbeitet. Dennoch können Fehler nicht vollständig ausgeschlossen werden und der Verlag, die Autoren oder Übersetzer übernehmen keine juristische Verantwortung oder irgendeine Haftung für evtl. verbliebene fehlerhafte Angaben und deren Folgen. Diplomica Verlag GmbH Hamburg 2010

3 3 Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis 10 Abkürzungsverzeichnis 11 1 Einleitung Ausgangssituation Forschungsstand Zielsetzung der Studie Aufbau der Studie Notation Grundlagen von Exploiting Frameworks und Intrusion Detection Systemen Grundlegende Begriffe Sicherheitslücke (Vulnerability) Exploit Pufferüberlauf (Buffer Overflow) Shellcode Spoofing Denial of Service Funktionsweise von Exploiting Frameworks Aufgaben Architektur Metasploit Framework (MSF) Architektur Benutzerschnittstellen Funktionsweise von Intrusion Detection Systemen (IDS) Definition Intrusion Detection Definition Intrusion Detection System Taxonomie von IDS Komponenten eines IDS

4 Netz-basierte Sensoren Host-basierte Sensoren Methoden der Angriffserkennung Erkennung von Angriffsmustern Anomalieerkennung Intrusion Protection Systeme (IPS) Falschmeldungen (False Positives und False Negatives) Sourcefire Snort (IDS/IPS) Architektur und Funktionsweise Preprozessoren Signaturen Konzepte zur Verschleierung von Angriffen Allgemeine Verschleierungs-Techniken Insertion / Injection Evasion Denial of Service Obfuscation Angriffstechnik der Sicherungsschicht (OSI-Schicht 2) Angriffstechniken der Netzwerkschicht (OSI-Schicht 3) Ungültige IP-Header Felder IP Optionen Fragmentierung von IP-Paketen Angriffstechniken der Transportschicht (OSI-Schicht 4) Ungültige TCP-Header Felder TCP Optionen TCP Stream Reassembly TCP Control Block (TCB) Angriffstechniken der Anwendungsschicht (OSI-Schicht 5-7) Coding Evasion Directory-Traversal Evasion Evasion durch polymorphen Shellcode Verschleierung von Angriffen in Exploiting Frameworks Verschleierung von Angriffen im Metasploit Framework Implementierte Insertion- und Evasion Techniken Implementierte Obfuscation Techniken Verschleierung des Angriffscodes Verschleierung des Shellcode Filterung von erkennbaren Angriffen auf Clientseite (IPS-Filter Plugin) 58

5 5 4.2 Verschleierung von Angriffen in Core Impact Verschleierung von Angriffen in SAINT exploit Bewertung von NIDS unter dem Gesichtspunkt von Evasion Techniken Bewertungsparameter für Network Intrusion Detection Systeme Entwurf der Testumgebung Anforderungsanalyse Auswahl der zu evaluierenden Network Intrusion Detection Systeme Auswahl der Testverfahren Tests der Evasion Techniken der Netzwerk- und Transportschicht Tests der Obfuscation Techniken der Anwendungsschicht Konfiguration der Testumgebung Realisierung der Testumgebung Einrichtung der Virtuellen Maschinen in VirtualBox Einrichtung des Metasploit Exploiting Frameworks Einrichtung der Netzwerkkomponenten (Hub, Router) Einrichtung des NIDS Snort Einrichtung des NIDS / IPS Untangle Einrichtung des NIDS Bro Einrichtung des NIDS Securepoint Einrichtung der Zielsysteme Integration der Cisco Appliances Einrichtung des Cisco 2620 Routers (IP Plus) Einrichtung des Cisco 4215 Sensors Durchführung der Tests Auswertung der Testergebnisse Auswertung der Protokolldateien Darstellung der Testergebnisse Zusammenfassende Bewertung der NIDS Zusammenfassung Ansätze zur verbesserten Erkennung von verschleierten Angriffen Maschinelles Lernen für Echtzeit-Intrusion-Detection Verbesserung von NIDS durch Host-basierte Informationen Verwendung von Grafikprozessoren zur Mustererkennung Dynamische Taint-Analyse zur Erkennung von Angriffen Normalisierung von Netzverkehr zur Beseitigung von Mehrdeutigkeiten Active Mapping Zusammenfassung und Fazit 115

6 6 Literaturverzeichnis 117 A Bewertungsparameter der evaluierten NIDS 122 B Konfigurationen 129 B.1 Snort Version Konfigurationsdatei snort.conf B.2 Cisco 4215 IDS Sensor - Konfiguration C Quellcode 135 C.1 Metasploit Framework Obfuscation Test Script (msfauto.sh) C.2 Metasploit IDS Filter Plugin (ids_filter.rb) C.3 Metasploit Exploit ms08_067_netapi Modulinformationen C.4 Metasploit Verschleierungs-Optionen des Moduls ms08_067_netapi Stichwortverzeichnis 153

7 7 Abbildungsverzeichnis 2.1 Lebenszyklus von Sicherheitslücken (Vulnerability Lifecycle) Exploiting Framework - Komponenten Metasploit Framework - Projektlogo Metasploit Framework - Architektur Metasploit Framework - Benutzerinterface msfgui nach dem Programmstart Intrusion Detection System - Taxonomie Snort - Projektlogo Snort - Architektur Snort - Aufgaben mehrerer Preprozessoren Snort - Bestandteile des Snort Regel-Headers Angriffstechnik - Insertion (des Buchstaben X) Angriffstechnik - Evasion (des Buchstaben A) Insertion Angriff auf der Sicherungsschicht (Link Layer) Internet Protocol (IP) - Internet Datagram Header Reassembly Überlappung der Daten von Fragmenten Transmission Control Protocol (TCP) - TCP Header Format MSF - Auswahlmöglichkeiten der implementierten Obfuscation Techniken Core Impact V9 - Erweiterte Modulparameter Konfiguration der Testumgebung Untangle - Status der installierten Komponenten Untangle - Übersicht der vorhandenen Signaturen Untangle - Status der installierten IPS Komponente Cisco IPS Device Manager - Signaturübersicht Cisco IPS Device Manager - Event Viewer Virtualbox - Übersicht der Virtuellen Maschienen Testauswertung - Ausführungserfolg der verschleierten Exploits Testauswertung der verschleierten Angriffe - Ergebnisse der Tests (a) Test 01 - DCERPC::fake_bind_multi (b) Test 02 - DCERPC::fake_bind_multi_append (c) Test 03 - DCERPC::fake_bind_multi_prepend

8 8 (d) Test 04 - DCERPC::max_frag_size (e) Test 05 - DCERPC::smb_pipeio Testauswertung der verschleierten Angriffe - Ergebnisse der Tests (a) Test 06 - SMB::obscure_trans_pipe_level (b) Test 07 - SMB::pad_data_level (c) Test 08 - SMB::pad_file_level (d) Test 09 - SMB::pipe_evasion (e) Test 10 - SMB::pipe_read_max_size Testauswertung der verschleierten Angriffe - Ergebnisse der Tests (a) Test 11 - SMB::pipe_read_min_size (b) Test 12 - SMB::pipe_write_max_size (c) Test 13 - SMB::pipe_write_min_size (d) Test 14 - TCP::max_send_size (e) Test 15 - TCP::send_delay Gnort - Architektur Argos - Architektur Normalisierer - Position im Netz

9 9 Tabellenverzeichnis 2.1 Metasploit Exploiting Framework - Versionsvergleich Metasploit Exploiting Framework - Übersicht der Benutzerschnittstellen IDS - Erkennungsmatrix Verhalten mehrerer Betriebssysteme bei Überlappungen in Fragmenten MSF - Implementierte Insertion- und Evasion Techniken MSF - Implementierte Obfuscation Optionen für das HTTP MSF - Implementierte Obfuscation Optionen für das SMB Protokoll MSF - Implementierte Obfuscation Optionen für das DCERPC Protokoll NIDS - Bewertungsparameter Intrusion Detection Systeme - Marktübersicht Evaluationsgegenstand - Liste der zu evaluierenden NIDS MSF - Moduloptionen des ms08_067_netapi Exploit-Moduls Metasploit - Paketabhängigkeiten Testauswertung - Ergebnisse der mittels fragroute verschleierten Angriffe Testauswertung - Ergebnisse der durch das MSF verschleierten Angriffe Testauswertung - Kombination mehrerer Obfuscation-Optionen im MSF NIDS - Bewertungsparameter A.1 NIDS - Bewertungsparameter

10 10 Listingverzeichnis 2.1 Beispielprogramm in der Programmiersprache C [Burns et al. 2007] Ausnutzen des Buffer Overflows im Beispielprogramm [Burns et al. 2007] Deassemblierung - Umwandlung der Opcodes in Assemblercode [Burns et al. 2007] Linux x86 Shellcode der /bin/bash ausführt in einem C Programm [Burns et al. 2007] Snort - Test-Regel zur Erkennung von Zugriffen auf FTP-Server MSF - Enthaltene NOP Generatoren MSF - Enthaltene Payload Encoder MSF - Ausschnitt des IPS-Filter Plugin Fragrouter - Übersicht der Optionen Fragroute - Übersicht der Optionen Fragroute - Regeldatei mit IP Fragmentierung (16 Byte Payload Länge) Ping - ICMP Echo Request mit 128 Byte Daten Tcpdump - Aufzeichnung des Netzverkehrs: Test RP Filter - Deaktivierung der Quell-Validierung im Kernel Fragroute - Eintrag in der Routing-Tabelle Fragroute - Ausgabe der durchgeführten Fragmentierung von IP-Paketen Tcpdump - Aufzeichnung des Netzverkehrs: Test Tcpdump - Aufzeichnung des Netzverkehrs: Test Tcpdump - Aufzeichnung des Netzverkehrs: Test Metasploit Command Line Interface - Befehl zur Ausgabe aller Exploits Metasploit Command Line Interface - Ausschnitt der Ausgabe aller Exploits Metasploit Framework - Übersicht der Modulfunktionen Metasploit Framework Command Line Interface - Aufrufsyntax Metasploit Framework - Übersicht der Moduloptionen Metasploit Command Line Interface - Aufruf ohne Verschleierungs-Optionen Metasploit Command Line Interface - Ausgabe der zum Exploit-Modul kompatiblen Payloads Metasploit Command Line Interface - Übersicht der Moduloptionen nach der Auswahl des Payloads Übergabeparameter für die Protokollierung auf dem Ziel-IT-System Metasploit Command Line Interface - Aufruf mit Verschleierungs-Optionen Automatisierungskript - Protokolleintrag

11 Automatisierungskript - Funktion zum Aufruf des msfcli Automatisierungskript - Aufruf des msfcli mit Verschleierungs-Optionen Metasploit - Installation der benötigten Softwarepakete Metasploit - Subversion Checkout Metasploit - Subversion Checkout bridge-utils - Konfiguration der Bridge Aktivierung des Routings im Linux-Kernel Konfiguration der Netzwerkschnittstellen Snort - Installation der benötigten Softwarepakete Snort - Befehle zur Kompilierung des Quellcodes Snort - Einrichtung der Benutzer und Verzeichnisse Snort - Ausschnitt der Umgebungsvariablen Snort - Aufruf mit Konfigurationsparametern Untangle - Regel: Potentially Bad Traffic (Index of /cgi-bin/ response) Untangle - Test-Signatur: Erkennung von TCP Netzverkehr Bro IDS - Quellcode Bro IDS - Quellcode Cisco 2620 Router (IP Plus) - IP Audit Optionen Cisco 2620 Router (IP Plus) - Einrichtung Cisco 2620 Router (IP Plus) - Ausschnitt der Konsolenausgabe mit Alarmmeldungen Cisco 4215 Sensor - Fehlermeldung Cisco 4215 Sensor - Status der Kernkomponenten Cisco 4215 Sensor - Grundkonfiguration VM Metasploit - Ausgabe des Automatisierungsskriptes während der Tests Snort - Logeintrag eines erkannten Angriffs Tcpdump - Ausgabe der Statistik des aufgezeichneten Netzverkehrs Windows XP SP3 - Protokolleintrag auf dem Zielsystem Auswertung der Protokolldateien B.1 Snort Version Konfigurationsdatei snort.conf B.2 Cisco 4215 IDS Sensor - Konfiguration C.1 Metasploit Framework Obfuscation Test Script (msfauto.sh) C.2 Metasploit IDS Filter Plugin (ids_filter.rb) [Metasploit LLC 2009] C.3 Metasploit Exploit ms08_067_netapi Modulinformationen [Metasploit LLC 2009]148 C.4 Metasploit Verschleierungs-Optionen des Moduls ms08_067_netapi [Metasploit LLC 2009]

12 12 Abkürzungsverzeichnis ASCII ACID ARP ACK AUX APT Bit BSD BSI BID CGI CIDR CVE CERT DB DMZ DNS DoS DDoS DLL DCE EXE FE FIN FP FN GPL GUI GNU GTK HIDS HTML ICMP American Standard Code for Information Interchange Analysis Console for Intrusion Databases Address Resolution Protocol Acknowledgment Auxiliary Advanced Paket Manager Binary Digit Berkeley Software Distribution Bundesamt für Sicherheit in der Informationstechnik Bugtraq Identifier Common Gateway Interface Classless Inter-Domain Routing Common Vulnerabilities and Exposures Computer Emergency Response Team Datenbank Demilitarized Zone Domain Name System Denial of Service Distributed Denial of Service Dynamic Link Library Distributed Computing Environment Executable Front End Finish False positive Front negative GNU General Public License Graphical User Interface GNU s Not Unix GNU Image Manipulation Program Toolkit Host-based Intrusion Detection System Hyper Text Markup Language Internet Control Message Protocol

13 13 ID Identifikation IDS Intrusion Detection System IP Internet Protocol IPS Intrusion Protection System ISO International Organization for Standardization IV Informationsverarbeitung IT Informationstechnik Internet Interconnected Networks KB Kilobyte LAN Local Area Network MAC Media Access Control MB Megabyte MBit Megabit MITM Man in the middle MSF Metasploit Exploiting Framework Meterpreter Meta-Interpreter NIC Network Interface Card NIDS Network-based Intrusion Detection System OS Operating System OSI Open Systems Interconnection OSVDB Open Source Vulnerability Database PID Process Identifier POC Proof of Concept PSH Push PHP PHP Hypertext Preprocessor RST Reset REX Ruby Exploit Library RFC Request for Comments RPC Remote Procedure Call SSH Secure Shell SQL Structured Query Language SYN Synchronize SMB Server Message Block SP Service Pack SVN Subversion TCP Transmission Control Protocol TP True positive TN True negative TTL Time to Live

14 14 UDP URL URG URI VM WAN User Datagram Protocol Uniform Resource Locator Urgent Uniform Resource Identifier Virtuelle Maschine Wide Area Network

15 15 Kapitel 1 Einleitung 1.1 Ausgangssituation Ein erhöhter Schutzbedarf von IT-Systemen kann durch Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme bzw. Intrusion Prevention Systeme (IDS/IPS) gewährleistet werden, die bestimmten Datenverkehr blockieren oder Angriffe erkennen und verhindern sollen. Ein Beispiel für einen Angriff ist das Ausnutzen einer Sicherheitslücke durch einen Exploit in einem Dienst mit dem Ziel eigenen Code auszuführen und die Kontrolle über das IT-System zu erlangen. Exploiting Frameworks stellen für solche Angriffe eine Art Baukasten dar, mit dem ein Angreifer den Exploit anpassen und automatisiert gegen ein Zielsystem ausführen kann. Viele Angriffe werden jedoch durch Schutzmaßnahmen wie IDS erkannt bzw. im Falle von Intrusion Prevention Systemen (IPS) abgewehrt. Um eine Erkennung derartiger Angriffe zu verhindern, existieren mehrere kombinierbare Techniken, die jeweils auf verschiedenen Schichten des ISO OSI Modells angewendet werden, um die Mechanismen von IDS/IPS zur Erkennung von Angriffen zu umgehen. Auf der Netzwerkschicht (OSI-Schicht 3) werden beim Insertion- bzw. beim Evasion-Angriff zusätzliche Pakete in den Datenstrom zwischen Angreifer und Zielsystem eingefügt, die vom IDS und dem IT-System des Opfers unterschiedlich interpretiert bzw. verworfen werden. Durch den unterschiedlichen Datenstrom kann so z.b. das Pattern-Matching bei Signatur-basierten IDS außer Kraft gesetzt werden. Die Fragmentierung von IP Paketen (Fragmentation), sowie eine Aufteilung der Angriffsdaten auf der Transportschicht (OSI-Schicht 4) in kleine TCP-Segmente stellen weitere Möglichkeit für Insertion- oder Evasion-Angriffe dar, da IT-Systeme je nach verwendetem TCP/IP Stack Reassembly-Strategien mit unterschiedlichem Verhalten aufweisen können. [Ptacek und Newsham 1998] Techniken zur Verschleierung von Angriffen existieren auch auf Anwendungsebene (OSI-Schicht 5-7), indem die Daten im Protokoll der Anwendung bei gleichbleibender Semantik umgeformt werden. Um derartige Angriffe zu erkennen, muss das IDS über eine entsprechende Logik für das Anwendungsprotokoll verfügen. [Roelker 2003]

16 Zielsetzung der Studie Unabhängig von den Insertion- oder Evasion Techniken der tieferen OSI-Schichten kann auch der Angriffscode (Exploit-Code) bei gleichbleibender Semantik so umgeformt bzw. verschleiert (Obfuscation) werden, dass dieser nicht oder schlechter durch IDS/IPS erkannt wird. Eine simple Form ist die Umcodierung des Schadcodes z.b. in das BASE-64, TAR oder ZIP Format. Eine erweiterte Form ist die Umwandlung des Angriffscode in einen sich selbst entschlüsselnden polymorphen Shellcode. [Fogla et al. 2006] Um eine Erkennung von Angriffen zu erschweren, kann ein IDS auch durch eine hohe Anzahl von vermeintlichen Angriffen so überlastet werden, dass alle Ressourcen belegt sind und tatsächliche Angriffe nicht mehr erkannt werden können (Denial-of-Service Angriff). [Ptacek und Newsham 1998] In einigen Exploiting Frameworks, wie z.b. dem Metasploit Framework (MSF), SAINT Exploit oder Core Impact, sind bereits einige der dargestellten Optionen zur Verschleierung von Angriffen implementiert [Moore 2006]. Dies stellt ein Risiko für Unternehmen dar, da erfolgreiche Angriffe auf IT-Systeme in diesem Fall nicht mehr durch IDS erkannt werden können. 1.2 Forschungsstand Insertion und Evasion wurde, u.a. im Zusammenhang mit IDS, in vielen Veröffentlichungen analysiert. Bereits 1998 wurden die verschiedenen Techniken dargestellt [Ptacek und Newsham 1998]. Die Literatur beschränkt sich auf die Techniken der Insertion und Evasion im Zusammenhang mit der Erkennung von Angriffen durch IDS und betrachtet nicht die Integration dieser Techniken in Exploiting Frameworks sowie den sich hieraus ergebenden Risiken und Möglichkeiten. 1.3 Zielsetzung der Studie Es werden Techniken und Konzepte analysisert und bewertet, mit denen Angriffe so gestaltet werden, dass sie nicht von IDS/IPS erkannt werden können (Insertion, Evasion und Obfuscation). Durch die Integration dieser Techniken in Exploiting Frameworks wird zudem der Beitrag von Exploiting Frameworks unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen untersucht. Mehrere ausgewählte NIDS werden unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen bewertet. Hierzu werden die Grundlagen von Exploiting Frameworks, IDS/IPS und von Techniken zur Verschleierung von Angriffen dargestellt und eine Testumgebung sowie Testszenarien erstellt, in denen am Beispiel des Metasploit Exploiting Frameworks und mehreren Network Intrusion