A new Attack Composition for Network Security

Transkript

1 A new Attack Composition for Network Security Autoren: Frank Beer Tim Hofer David Karimi Prof. Dr. Ulrich Bühler 10. DFN-Forum Kommunikationstechnologien

2 Motivation Welche Eigenschaften muss ein Dataset mitbringen? Öffentlich zugängliche Datasets (DS) mit diesen Eigenschaften kaum zu finden Aktuelle DS analysiert (Booters-15, CTU-13, ISCX-2012, ISCX-Botnet, L-Flows und SSH-DS) Spezifischer Kontext, manipulierte Daten, abstrakte Ground-Truth, fehlende Log Events Die erkannten Mängel und Diskussionen in der Literatur motivierten zu NDSec-1 2

3 NDSec-1 Allgemeine Anforderungen: Realistischer Netzwerkverkehr Breites Angriffsspektrum Detaillierte Ground Truth Feingranulares Datenformat Zusätzlich: Einfach gehaltene Infrastruktur Bereitstellung von Log-Events Warum kein realistischer Netzwerkverkehr? Netzwerke sind zu individuell NDSec-1 hat nahezu kein Background Traffic NDSec-1 dient als Angriffs-Repository 3

4 Topologie Drei Netze werden abgebildet Simuliertes Unternehmen (Server, Workstations, Traffic Collector) Simuliertes Internet (Server) Internet (Weiterleitung realer Anfragen)

5 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 5

6 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 2. Port Scan 6

7 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 2. Port Scan 3. Bruteforce (SSH) 7

8 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 2. Port Scan 3. Bruteforce (SSH) 4. DNS Spoofing 8

9 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 2. Port Scan 3. Bruteforce (SSH) 4. DNS Spoofing 5. SSL Proxy 9

10 Szenario 1: Bring your own device (BYOD) Spiegelt Sicherheitsrisiko durch unternehmensfremde Geräte wieder Vertrauenswürdigkeit von Mitarbeitern wird gezielt ausgenutzt Einsatz eines Binary Linux Trojaners mit Meterpreter Backdoor (Metasploit) BYOD scannt und kompromittiert stufenweise Unternehmensinfrastruktur 1. Netzwerkscan (IP) 2. Port Scan 3. Bruteforce (SSH) 4. DNS Spoofing 5. SSL Proxy 6. Upload SSL Files 10

11 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 11

12 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 12

13 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 3. XSS-Injection 13

14 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 3. XSS-Injection 4. Compromising 14

15 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 3. XSS-Injection 4. Compromising 5. Exploitation 15

16 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 3. XSS-Injection 4. Compromising 5. Exploitation 6. Infection 16

17 Szenario 2: Watering Hole Attack Gezielter Angriff und Infektion von Mitarbeitern eines Unternehmens Ausspähen von Mitarbeitern, um gemeinsame Basis des Angriffes zu definieren Gemeinsame Basis: Bekannte Webseite oder unternehmensinterner Service Einbettung von Schadcode (XSS) ermöglicht Umleitung zu Exploit-Kit (Crimepack) 1. Bruteforce (Web) 2. SQL-Injection 3. XSS-Injection 4. Compromising 5. Exploitation 6. Infection 7. Ransomware 17

18 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE

19 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE

20 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE

21 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE

22 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 22

23 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 23

24 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 5. Call Master 24

25 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 5. Call Master 6. Download 7. Execute 25

26 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 5. Call Master 6. Download 7. Execute 8. DDoS 26

27 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 5. Call Master 6. Download 7. Execute 8. DDoS 9. Config theft 27

28 Szenario 3: Botnet Beschreibt Infektions- und Kommunikationsphase eines Botnetzes Verwendung des HTTP-basierten Botnetzes Citadel (Version ) Infektion durch Spam: Exploits (CVE , CVE ) und XSS Durchführung eines DDoS inklusive Datendiebstahl (wichtige Konfigurationen) 1. Spam-Distribution 2. CVE CVE XSS Download 5. Call Master 6. Download 7. Execute 8. DDoS 9. Config theft 28

29 Evaluation mit Snort Evaluation von signatur-basiertem IDS: Snort Standard Konfiguration mit Community-Regeln und ET-Extensions Botnet wurde erkannt Keine Alerts für HTTP brute-force Ca. 33% des Angriffes wurden gemeldet Nur periodische Alerts Schlechte Erkennung von Angriffen mit hohem Durchsatz Crimepack sowie ausgenutzte Schwachstellen wurden erkannt Gute Erkennung bei beliebten Port-Ranges für Angriffe Keine Alerts Spoofing Keine aussagekräftigen Alerts für SSL proxy Keine Alerts für XSS SQL Injection wurde zu 60% erkannt 29

30 Fazit und zukünftige Schritte Einführung eines neuen Datasets inspiriert von klassischen und aktuellen Angriffen Nutzbar zur Evaluation von existenten oder neuen Erkennungsansätzen Merkmale von NDSec-1: Individualisierungsmöglichkeiten für eigene Infrastruktur Bereitstellung von Rohdaten, Log-Events und Ground-Truth Zukünftig geplante Arbeiten: Evaluation weiterer Detektoren (signatur- & anomalie-basiert) mit NDSec-1 um potenzielle Einschränkungen zu ermitteln Bereitstellung neuer Angriffsszenarien zur Aktualisierung von NDSec-1 Link zu NDSec-1: www2.hs-fulda.de/ndsec/ndsec-1/ 30

31 Vielen Dank für Ihre Aufmerksamkeit! Kontakt: Tim Hofer: David Karimi: 31

32 Anhang Resultat der Auswertung von Datasets 32