Diplomarbeit Antrittsvortrag. Hypervisor based Machine Monitoring for Securing Network Infrastructures

Transkript

1 Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Diplomarbeit Antrittsvortrag Hypervisor based Machine Monitoring for Securing Network Infrastructures Simon Stauber Betreuer: Holger Kinkelin 30. November 2011

2 Übersicht Motivation Schadsoftware als Bedrohung Ausblick auf das ANSII Projekt Grundlagen Schutz durch Host Intrusion Detection System Trusted Computing als statischer Integritätsschutz Diplomarbeit Ziel und Anforderungen Virtualisierungstechnologie als Trusted Computing Base Virtual Machine Introspection und XenAccess Ziele Zeitlicher Ablauf Zusammenfassung 2

3 Motivation aktueller Bezug Spiegel Online vom Erhöhte Angreifbarkeit von Rechensystemen durch globale Vernetzung Befall wichtiger Infrastruktur hat große Auswirkung auf tägliches Leben 3

4 Ausblick auf neues Projekt: ANSII Bedrohungsanalyse Verstehen von Angriffsmodellen: Aufdeckung von Schwachstellen Abschätzung von möglichen Schäden (z.b. Industrieanlagen) Integration von Sicherheitstechnologien in Rechensysteme Angriffe verhindern Schaden der Angriffe begrenzen 4

5 Ausblick auf neues Projekt: ANSII 1. Anforderung: Erkennen von Angriffen Auffinden von Anomalien durch hybride Überwachung Erkennung von Verletzung der Systemintegrität Möglichkeit der Auswertung über sicheren Kommunikationskanal 5

6 Ausblick auf neues Projekt: ANSII 2. Anforderung: Reaktion durch kontrolliertes Handeln Notfallmaßnahme: System anhalten, vom Netzwerk ausschließen Wiederherstellung: Patchen, Restart, Neuinstallation, Self Healing => Diplomarbeit als erster Schritt nach ANSII 6

7 Diplomarbeit Ziel & Anforderungen Ziel: Eindämmung von Angriffen durch Überwachung auf Rechensystem Monitoring des Rechensystems zur Laufzeit Operation aus vertrauenswürdiger Basis Einleiten von Notfallreaktion Frage: Kann ein Intrusion Detection System dies leisten? 7

8 Grenzen von HIDS IDS: Monitoringkonzepte zur Überwachung von Systemen Host Intrusion Detection System (HIDS) Monitoring direkt am Zielsystem unterstützt durch Betriebssystem Operiert in gemeinsamer Domäne wie Betriebssystem Beispiele: Antivirus Scanners, Samhain, Osiris + Detaillierter Einblick in das System Umfassende Überwachung Wenig resistent gegen Attacken Sicherheitslücken im System sind Angriffspunkte für HIDS Kann mit System befallen und deaktiviert bzw. beschädigt werden 8

9 Diplomarbeit Ziel & Anforderungen Ziel: Eindämmung von Angriffen durch Überwachung auf Rechensystem Monitoring des Rechensystems zur Laufzeit Operation aus vertrauenswürdiger Basis Einleiten von Notfallreaktion Frage: Kann Trusted Computing die Lösung bringen? 9

10 Grenzen von Trusted Computing Trusted Computing: Hierarchische Vermessung von Komponenten des Bootprozesses und Laufzeitsystems unter Verwendung des TPM Ziel: System kann vertrauenswürdigen Zustand beweisen Probleme bei Trusted Computing Messung nur bei Bootvorgang Statisch: keine Kontrolle des Arbeitsspeichers, Manipulation möglich Passiv: TPM erlaubt keinen aktiven Systemeingriff Fehlende Anforderungen: TPM Dynamische Überwachung durch Analyse der Laufzeitumgebung Aktive Notfallreaktion => Notwendigkeit einer neuen Trusted Computing Base (TCB) 10

11 Hypervisor als TCB Virtualisierungstechnologie Physikalische Eigenschaften der Hardware verstecken Abstraktionsschicht zur Verwaltung von Ressourcen Moderne CPUs: erweitertes Schutzringkonzept zur Trennung von virtuellen Maschinen und Hypervisor (VT x, AMD V) Isolation: getrennte Domänen für Monitor und überwachtes System => Nutzung des Hypervisors als TCB für Monitoring 11

12 VMI Virtual Machine Introspection (VMI) Ressourcen des Gastsystems aus privilegierter Domäne betrachten zur Analyse der Laufzeitumgebung Inspection: Zugriff auf die Ressourcen des überwachten Systems Sicht des Hypervisors über den Zustand des betrachteten Gastsystems Zustand der Hardware: z.b. Speicherseiten, Registerinhalte, Interrupts Low Level Sicht: VMI IDS kooperiert nicht mit Gast OS wie HIDS 12

13 Semantic Gap Zustandsanalyse des Systems durch Überwindung der Semantic Gap: Rohdaten über den Zustand des Systems Problem der Interpretation Lösungsmöglichkeit: Verwendung von Vorwissen über Gast OS Extrapolation der Software Sicht aus der Hardware Sicht Extrapolation 13

14 Introspection mit XenAccess XenAccess Monitoring Library für Introspection basierend auf Xen Verwendung der Speicherzugriffsfunktion der XenControl Library Zugriff auf Arbeitsspeicher der VMs (einzelne Speicherseiten) Extrapolationsmöglichkeiten: Geladene Module, laufende Prozesse Speichersegmente (z.b. text, data, stack) von Prozess, Kernel Aber: XenAccess bietet keinen Erkennungsmechanismus 14

15 VMI IDS Erkennungsmechanismen für Schadsoftware: Erkennen User Program Integrity Detector: Überprüfung der Integrität des Inhalts des Arbeitsspeichers durch Hashwerte Lie Detector: Inkonsistenz zwischen Sichten von Kernel und Benutzerprogramm Signature Detector: Suche von Schadsoftware durch Anwenden von bekannten Signaturen (ähnlich Antivirus Tools) Einleiten der Notfallreaktion: Handeln Erfordert Schnittstelle zum Hypervisor zur Kontrolle der Gastsysteme Gebrauch von LibVirt: Tool mit Schnittstelle zur Verwaltung von Domänen 15

16 Diplomarbeit Ziele Evaluierung der Möglichkeiten und Grenzen von Introspection Analyse bestehender VMI IDS Systeme und Angriffsszenarien Überwindung der Semantic Gap Möglichkeiten von Abwehrreaktionen Verursachte Performance Einbußen Erkennbarkeit von VMI IDS für Angreifer Implementierung eines Prototypen auf Basis von Xen und XenAccess Erkennung von Angriffen auf das Gast System zur Laufzeit Notfallreaktion auslösen und Meldung tätigen 16

17 Zeitplan 17

18 Zusammenfassung Schadsoftware ist Bedrohung für Wirtschaft und globale Infrastrukturen Mechanismen des HIDS und TC sind nicht ausreichend Neuer Vertrauensanker (TCB) in der Virtualisierungstechnologie Möglichkeit der Introspection (VMI IDS) Untersuchung von Arbeitsspeicher, Festplattenaktivität Notwendigkeit der Überwindung der Semantic Gap Ziel: Aufbau und Analyse eines Monitoringsystems in eigener Schutz domäne zur Erkennung von Rootkits und Einleitung einer Notfallreaktion Zu verwendende Technologien Xen (bare metal Hypervisor) XenAccess (libvmi) als Library für Introspection LibVirt 18

19 Und zum Schluss D anke für Ihre A ufm erksam keit 19

20 Und zum Schluss G ibt es noch Fragen? 20

21 Literatur E Energy, Bundesministerium für Wirtschaft und Technologie, energy.de/ TSS Studie, Bundesamt für Sicherheit in der Informationstechnik Trusted Computing Systeme, Thomas Müller Copilot a Coprocessor based Kernel Runtime Integrity Monitor, Petroni, Fraser, Molina, Arbaugh A Virtual Machine Introspection Based Architecture for Intrusion Detection, Garfinkel, Rosenblum Virtualization Security: Virtual Machine Monitoring and Introspection, Tsifountidis Design and Implementation of a Virtual Machine Introspection based Intrusion Detection System, Kittel Secure and Flexible Monitoring of Virtual Machines, Payne, Carbone, Lee XenAccess Documentation The Definitive Guide to the Xen Hypervisor, Chisnall Understanding the Linux Kernel, Bovet, Cesati Qubes OS Architecture, Rutkowska, Wojtczuk Stuxnet Virus könnte tausend Uran Zentrifugen zerstört haben, Spiegel Online Tripwire Bug: Tripwire Bug:

22 Bildnachweis content/uploads/2011/04/snort_large.gif content/uploads/answer.jpg evil tux 4930.png content/uploads/2007/11/tux_new.jpg cert.gov/images/logo_l.jpg studiengang.de/images/schutzschild_200.jpg content/uploads/2010/02/100212infineon_tpm.jpg 22

23 Und zum Schluss D anke für Ihre A ufm erksam keit 23

24 Grenzen von NIDS IDS: Monitoringkonzepte zur Überwachung von Laufzeitsystem Network Intrusion Detection System (NIDS) Pakete in Netzwerk aufzeichnen und Angriffsmuster erkennen z.b. Snort: liest Traffic direkt von der Netzwerkhardware und vergleicht diesen mit Signaturen hohe Resistenz gegen Attacken Funktionalität bei Ausfall von einem Monitorsystem nicht gefährdet Monitoring nicht auf ein System beschränkt geringer Einblick in Systemressourcen, lückenhafte Überwachung erkennt nur Anomalien im Netzwerkverkehr Verwerfen von Paketen bei hoher Netzlast 24

25 Trusted Computing Ziel: System soll in einem vertrauenswürdigen Zustand sein Abhilfe: Ermittlung der Integrität des Systems mit Trusted Computing Hierarchische Vermessung von Komponenten des Bootprozesses, Kernel, Module und Applikationen unter Verwendung von TPM Trusted Boot TrustedGRUB Laufzeitmessung b64433a7dcd7573fbe56b4671bb32450f45b6b82 mac80211 db26e7e37842a8fd5508c9c7e345ab22d753f00e iwl3945 Integrity Measurement Architecture 5e0324d1b1756e18c3a53e c5d pcmcia f68269c7f4f66a252dc2cd1aad9e7f801d2dafb0 wlan 0a b57ca0e7a2ba21834fa902d9b joydev Remote Attestation TPM => grundlegender Schutz 25

26 Copilot als TCB Ziel: führe Vorteile von HIDS und NIDS zusammen Abhilfe: Schaffung eines Vertrauensankers: Projekt Copilot : neue Trusted Computing Base (TCB) Spezialhardware: PCI Karte als Vertrauensanker Überwachen des Arbeitsspeichers über DMA Verbindung zum Administrator über Seitenkanal Manuelle, händische Reaktion Ist Spezialhardware notwendig, um TCB für Monitoring zu schaffen? Nein, Technik der Virtualisierung kann TCB schaffen. 26

27 Introspection mit XenAccess XenAccess Monitoring Library für Introspection basierend auf Xen Zugriff auf Arbeitsspeicher der VMs (einzelne Speicherseiten) Speicherverwaltung in 3 Level: von virtueller Speicheradresse des Gastsystems zur Maschinenadresse übersetzen Extraktionsmöglichkeiten: geladene Module, laufende Prozesse Speichersegmente (z.b. text, data, stack) von Prozess, Kernel Erkennen von Festplattenaktivität Disk Monitoring durch Treiber Wrapper in Dom0 Extraktionsmöglickeiten: Erstellen, Löschen von Dateien Problem: Befehle nicht sofort auf Festplatte ausgeführt (sync) Aber: XenAccess bietet keinen IDS Algorithmus 27

28 bestehende Introspection Tools frühes VMI IDS Tool von Garfinkel und Rosenblum: Livewire Besitzt grundlegende Erkennungsmechanismen für Malware User Program Integrity Detector: Überprüfung der Integrität des Inhalts des Arbeitsspeichers durch Hashwerte in statischen Speicherbereichen (z.b..text) Lie Detector: Inkonsistenz zwischen Sichten von Kernel und Benutzerprogramm Signature Detector: Suche von Schadsoftware durch Anwenden von bekannten Signaturen (ähnlich Antivirus Tools) Weitere bekannte Monitoring Tools: SecVisor (im Kern) HyperSpector (extra VM) VMwatcher (HD Mount) VMWall (Firewall) Original (vertrauenswürdig) 28