HoneypotMe Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte

Transkript

1 Flexible Auslagerung von Honeypot-Sensorik auf gefährdete Endgeräte Jan Gassen Forschungsgruppe Cyber Defense

2 Erkennung von Malware Unterschiedliche Verbreitung von Malware Miner Botnetz

3 Erkennung von Malware Standortabhängig bei Angriffserkennung ASN der Sensoren Anteil aller registrierten Angriffe aus Deutschland nach ASN

4 Erkennung von Malware Honeypots hon ey pot 'hənēˌpät n Computersystem ohne produktive Aufgabe n Keine reguläre Interaktion n Jede Interaktion kann als Angriff gewertet werden n (Simulierte) Verwundbarkeiten n Angreifer hat i.d.r. keine Information über Opfersysteme n Honeypot für Angreifer wie Produktivsystem Honeypot Angreifer Opfer Opfer

5 Erkennung von Malware Honeypots n High Interaction Honeypot n Computersystem mit realen Verwundbarkeiten n Erlaubt Angreifern Zugriff auf Betriebssystem n Kann infiziert werden n Low Interaction Honeypot n Verwundbarkeiten werden simuliert n Kein Zugriff auf Betriebssystem n Wird (i.d.r.) nicht infiziert High Interaction Honeypot Low Interaction Honeypot Angreifer Opfer

6 Erkennung von Malware Honeypots n Erkennung bisher unbekannter Angriffe n Ermöglichen sammeln von Schadprogrammen n Geringer Analyseaufwand Honeypot Opfer Aber: n Können erkannt werden n Können nur direkte Angriffe erkennen n Honeypots benötigen eigene Ressourcen Angreifer Opfer

7 Erkennung von Malware Honeypots n Mögliches zusätzliches Sicherheitsrisiko n Insbesondere in Produktiv-Netzen n Durch Infektion des Hosts n Als mögliche Plattform für weitere Angriffe n Aktualisierung nötig um auf neue Angriffe reagieren zu können n Unterschiedliche Honeypots zur Detektion unterschiedlicher Angriffe Honeypot Angreifer Opfer Opfer

8 Konzept n Honeypot-Sensorik auf Produktivsystemen n Umfangreiche Netzüberwachung n Keine dedizierten Ressourcen n Auslagerung der Verbindungsanalyse n Zur lokalen oder externen Analyse n Zentrale Sammlung der Informationen n Zentrale Administration Sensor Sensor Analyse Sensor

9 Konzept n Übertragung des Honeypot-Konzepts n Ressource ohne produktive Aufgabe n Jede Interaktion stellt Angriff dar n Auf Produktivsysteme n Ports ohne produktive Aufgabe n Keine reguläre Interaktion n Analyse der Verbindung für Details n Unterschiedliche Ports auf verschiedenen Systemen 22 (SSH) 1433 (MS-SQL) Produktivsystem

10 Konzept n Analyse von Verbindungsversuchen auf geschlossene Ports n Angreifer überprüfen Opfersystem auf verwundbare Dienste n Typischerweise SYN-Scan n Opfer antwortet mit RST/ACK wenn Dienst nicht verfügbar SYN Angreifer RST ACK Opfer

11 Konzept n Dynamische Weiterleitung von Verbindungsanfragen auf geschlossene Ports n Transparent für angreifendes System n Keine Einschränkung für ausführendes System n Einsatz auf beliebigen Systemen möglich SYN SYN Angreifer SYN ACK Opfer (HoneypotMe) Analysekomponente

12 Weiterleitung eingehender Verbindungen n Proxy n Anonymisierung des Angreifers n Keine Lagebildinformationen n Kein Fingerprinting möglich n Tunneling n Daten werden unverändert weitergeleitet n Alle Angriffsinformationen bleiben erhalten n Fingerprinting möglich Proxy Angreifer HoneypotMe Analyse Tunnel Angreifer HoneypotMe Analyse

13 Implementation n Dynamischer Tunnel n RAW Socket n Teste ob Port offen für eingehende SYN Pakete (bind) n Weiterleitung des Pakets und aller Folgepakete n Dynamische Blockierung ausgehender RSTs mit libipq n RSTs von Analysekomponente werden weitergeleitet RST ACK Generiert von Analysesystem Generiert von Opfer RST ACK msg = ipq_get_packet(buf);!! int verdict = NF_ACCEPT;!! struct iphdr *iph = (struct iphdr*) msg->payload;! uint16_t iphdrlen = iph->ihl * 4;!! if (iph->protocol == IPPROTO_TCP) {! struct tcphdr *tcph = (struct tcphdr*) (msg->payload +! iphdrlen);!! if (tcph->rst && ntohl(tcph->seq) == 0 &&!!rst_is_on_stack(iph, tcph)) {! verdict = NF_DROP;! }! }!! status = ipq_set_verdict(ipq_h, msg->packet_id, verdict, 0,! NULL);

14 Implementation Angreifer n Analysekomponente aus Tunnelserver und Dionaea (Low Interaction Honeypot) n Tunnelserver für Adress-Translation n Routing über Tunnel in beide Richtungen n Da Angreifer möglicherweise hinter NAT oder Firewalls n Kein Zugriff auf lokales Netz des Opfers möglich HoneypotMe Tunnel-Server Dionaea

15 Eigenschaften n Sichtbar: System-Ports + Honeypot-Ports n Für Angreifer schwierig zu unterscheiden n Ablenkung von realen Verwundbarkeiten n Klassische Honeypots oft einfach anhand spezifischer Ports zu Erkennen n Dynamischer Honeypot-Ansatz n Passe Honeypots an Produktivsysteme an n HoneypotMe-Ansatz n Passe Produktivsysteme an Honeypots an Nmap scan report for ! Host is up ( s latency).! Not shown: 999 closed ports! PORT STATE SERVICE! 80/tcp open http!! Nmap done: 1 IP address (1 host up) scanned in 1.22 seconds!! Nmap scan report for ! Host is up (0.18s latency).! Not shown: 970 closed ports! PORT STATE SERVICE! 21/tcp open ftp! 42/tcp open nameserver! 80/tcp open http! 111/tcp filtered rpcbind! 125/tcp filtered locus-map! 135/tcp filtered msrpc! 139/tcp filtered netbios-ssn! 161/tcp filtered snmp! 443/tcp open https! 445/tcp filtered microsoft-ds! 726/tcp filtered unknown! 903/tcp filtered iss-console-mgr! 1152/tcp filtered winpoplanmess! 1433/tcp open ms-sql-s! 1503/tcp filtered imtc-mcs! 1666/tcp filtered netview-aix-6! 2382/tcp filtered ms-olap3! 3005/tcp filtered deslogin! 3306/tcp open mysql! 4444/tcp open krb524! 5060/tcp open sip! 5061/tcp open sip-tls! 5500/tcp filtered hotline! 5550/tcp open sdadmind! 6005/tcp filtered X11:5! 9001/tcp filtered tor-orport! Nmap done: 1 IP address (1 host up) scanned in seconds!

16 Ergebnisse n Einsatz von HoneypotMe über einen Monat n Auf vier Produktivsystemen der Universität Bonn n Jeweils direkt aus dem Internet erreichbar n Dionaea zur Analyse weitergeleiteter Verbindungen n Insgesamt Verbindungsanfragen n 9467 auf simulierte Dienste n 3448 erfolgreich bearbeitet

17 Ergebnisse Anteile aller von Dionaea bearbeiteter Verbindungen

18 Zusammenfassung 0.7 n HoneypotMe ermöglicht Erkennung von Angriffen auf Produktivsystemen n In lokalem Netz n Über das Internet n Ausführendes System nicht von Honeypot zu unterscheiden n Ablenkung von realen Verwundbarkeiten n (Fast) kein zusätzlicher Ressourcenbedarf n Hohe Skalierbarkeit n Kein zusätzliches Sicherheitsrisiko Angriffe in % HoneypotMe ASN

19 Praxisrelevante Ansätze für Detektion, Analyse und Antwort auf Cyber-Attacken Cyber Defense Monitoring & Situational Awareness IDS for heterogeneous Networks Operational Picture & Situational Awareness Intrusion Response Resource-efficient Cryptography Efficient Key Management Application Protection Protocols Network Protection Protocols +49 (228) Digital Forensics & Malware Analysis Malware Analysis Digital Forensics Honeypots/Honeynets Botnet Analysis Secure Network Architectures Interoperable Coalition Architectures Multi-Level Security Gateway Concepts Protected Core Networking