Übung am Blatt 9, Aufgabe 1 Blatt 10

Transkript

1 Übung am Blatt 9, Aufgabe 1 Blatt 10

2 Blatt 9, Aufgabe 1 Nennen Sie die in der Vorlesung vorgestellten Tarn Techniken. Diskutieren Sie für jede Technik Vorteile und Nachteile sowie Erkennungsmöglichkeiten.

3 Tarn-Techniken vgl. Foliensatz zu Rootkits, Folien 13 ff.

4 User- vs. Kernelmode Je tiefer im System, desto versteckter aber z. T. auch komplizierter / riskanter (Systemabsturz bei Fehler)

5 Usermode-Tarntechniken IAT Hooking (vgl. Blatt 9!) (+) Keine DLL im Dateisystem! Rootkit nur im Hauptspeicher! ( ) Nach Neustart Rootkit nicht mehr ohne weiteres aktiv

6 Usermode-Tarntechniken II API Hooking aka Inline Detour Function Patch in geladener DLL

7 Usermode-Tarntechniken III Ersetzen von Programmen, z.b. ls, ps, netstat, lsof, rpm, md5sum, tripwire, aide, syslogd,... Neue Versionen der Programme filtern die Ausgaben anhand von Schlüsselwörtern ( ) i. d. R. unvollständig Erkennung mit anderen Mitteln möglich ( ) Neustart laufender Programme erforderlich

8 Kernelmode-Tarntechniken Systemrufe ändern (+) speziell präparierter Systemruf betrifft alle aufrufenden Programme (mehrere Fliegen mit einer Klappe) ( ) Modifikation von Systemruf Code erfordert Runtime Kernel Patching an mehreren Stellen gefährlich

9 Kernelmode-Tarntechniken II System Call Table Hooking Systemrufe werden durch modifizierte Versionen ersetzt durch Ändern der Zeiger in der Systemruf Tabelle ( ) es existieren mehrere Backup Kopien von Systemruf Tabellen ( ) durch Integritätsprüfung Rootkits leicht entdeckbar

10 Kernelmode-Tarntechniken III Manipulation des Systemruf Selektors statt Systemruf Tabelle zu ändern, eine eigene Tabelle verwenden Funktion zur Auswahl des Systemrufs wird geändert, so dass statt Original die Rootkit Systemruf Tabelle verwendet wird ( ) Änderung von Kernel Funktionen zur Laufzeit erforderlich gefährlich!

11 Kernelmode-Tarntechniken IV Interrupt Descriptor Table Hooking Zeiger auf den Systemruf Selektor in der IDT wird geändert und zeigt auf eine Rootkit Version (+) Keine Modifikation von Kernel Funktionen (Systemruf Selektor) notwendig

12 Blatt 10 Aufgabe 1 (Honeypot: Wurm-Angriff) Auf einem Honeypot wurde die Datei.unlock gefunden, die von einem Wurm benutzt wurde, um den Honeypot zu infizieren. Laden Sie die Datei von

13 Dateityp, Datum Welchen Datei Typ hat.unlock? Wann wurde die Datei erzeugt?

14 Dateityp, Datum Welchen Datei Typ hat.unlock? Wann wurde die Datei erzeugt? bash-3.2$ file.unlock.unlock: gzip compressed data, from Unix, last modified: Fri Sep 20 12:59: Im Archiv enthalten sind.unlock.c und.update.c, die Quelltexte des Wurms Slapper.B

15 Autor, Versionsnummer Wer ist der Wurm Autor? Wann wurde der Wurm erstellt? Passt dieser Zeitpunkt zu dem aus Frage 1)?

16 Autor, Versionsnummer Wer ist der Wurm Autor? Wann wurde der Wurm erstellt? Passt dieser Zeitpunkt zu dem aus Frage 1)? $ cat.unlock.c [ ] Peer-to-peer UDP Distributed Denial of Service (PUD) by contem@efnet [ ] some modification done by aion (aion@ukr.net) [ ] #define VERSION

17 Prozessname Unter welchem Namen wurde der Prozess des Wurms ausgeführt?

18 Prozessname Unter welchem Namen wurde der Prozess des Wurms ausgeführt? Weiter im Sourcecode: 78 #define PSNAME "httpd " [ ] 1803 for(a=0;argv[0][a]!=0;a++) argv[0][a]=0; 1804 for(a=0;argv[1][a]!=0;a++) argv[1][a]=0; 1805 strcpy(argv[0],psname);

19 Format, Dateien Welches Format nutzte der Wurm, um sich auf eine neu infizierte Maschine zu kopieren? Welche Dateien wurden während dieses Prozesses erzeugt? Welche Dateien verbleiben nach Ausführen des Wurms im System?

20 Format, Dateien II Der Wurm versendet seine gepackte Datei,.unlock, mittels UUencode kodiert Er erstellt die Dateien: /tmp/.unlock.uu /tmp/.unlock /tmp/.unlock.c /tmp/.update.c /tmp/httpd /tmp/update (bleibt als einzige erhalten)

21 Port Welcher Port wurde vom Wurm abgetastet?

22 Port Welcher Port wurde vom Wurm abgetastet? Ausschnitt aus Sourcecode: 67 #define SCANPORT80 [ ] 1921 sprintf(srv,"%d.%d.%d.%d",a,b,c,d); 1922 clients[n].ext=time(null); 1923 atcp_sync_connect(&clients[n],srv,scanport); Also Port 80/TCP

23 Verwundbarkeiten Welche Verwundbarkeit versuchte der Wurm auszunutzen? Auf welchen Architekturen?

24 Verwundbarkeiten Welche Verwundbarkeit versuchte der Wurm auszunutzen? Auf welchen Architekturen? Die Analyse des Quelltextes ergibt, dass die Antwort von gescannten Rechnern nach Apache sowie die Version des Apache und Betriebssystemeninformationen durchsucht wird.

25 Verwundbarkeiten II SSL Verwundbarkeit (CERT/CC VU#102795) auf i386 Linux Rechner, mit folgenen OS und Apache Versionen: Gentoo any version Debian Red-Hat 1.3.6, 1.3.9, , , , , , SuSE , , , , Mandrake , , , Slackware

26 Verschickte Informationen Welche Information wurde vom Wurm per verschickt? An welches Nutzerkonto?

27 Verschickte Informationen Welche Information wurde vom Wurm per verschickt? An welches Nutzerkonto? Der Wurm schickt eine an mit folgenden Informationen: hostid des infizierten Rechners (ermittelt durch den gethostid() Aufruf) Den hostname des infizierten Rechners IP Adresse des infizierenden Rechners

28 Kommunikation Welcher Port und welches Protokoll nutze der Wurm, um mit anderen infizierten Maschinen zukommunizieren?

29 Kommunikation Welcher Port und welches Protokoll nutze der Wurm, um mit anderen infizierten Maschinen zukommunizieren? Im Quelltext findet sich folgendes: 66 #define PORT 4156 Dieser Port wird in nachfolgenden Funktionen verwendet, um mittels UDP mit anderen infizierten Rechnern zu kommunizieren

30 Angriffsmethoden Nennen Sie drei Methoden, die der Wurm als Nutzlast zum Angriff auf anderen Netzwerke transportierte.

31 Angriffsmethoden II Der Wurm unterstütze u. a. UDP flood, TCP flood und IPv6 TCP flood [ ] 2205 case 0x29: { // Udp flood [ ] 2246 case 0x2A: { // Tcp flood [ ] 2279 case 0x2B: { // IPv6 Tcp flood [ ]

32 .update.c Welchen Zweck hat das Programm.update.c Welchen Port verwendet es?

33 .update.c Welchen Zweck hat das Programm.update.c Welchen Port verwendet es? Das Programm lauscht auf Port 1052/TCP Es stellt eine Shell mit Apache Rechten zur Verfügung if(!strncmp(temp_buff,pass,strlen(pass)) ) execl("/bin/sh","sh -i",(char *)0);

34 SLEEPTIME, UPTIME Wofür wurden die Werte SLEEPTIME und UPTIME im Programm.update.c verwendet?

35 SLEEPTIME, UPTIME Wofür wurden die Werte SLEEPTIME und UPTIME im Programm.update.c verwendet? Die Hintertür ist nur UPTIME (10 Sekunden) aktiv und schläft dann SLEEPTIME (5 Minuten)

36 Aufgabe 2 (Honeypot: Bot-Einbruch) Laden Sie die gepackten Audit Daten Datei von dortmund.de/~meier/resi/tcpdump.gz

37 IRC Was ist IRC?

38 IRC Was ist IRC? Zitat Wikipedia: Internet Relay Chat, kurz IRC, bezeichnet ein rein textbasiertes Chat System. Es ermöglicht Gesprächsrunden mit einer beliebigen Anzahl von Teilnehmern in so genannten Channels (Gesprächskanälen), aber auch Gespräche zwischen zwei Teilnehmern (Query).

39 Beitritt Welche Nachricht schickt ein IRC Client, um einem IRC Netzwerk beizutreten?

40 Beitritt Welche Nachricht schickt ein IRC Client, um einem IRC Netzwerk beizutreten? Nötig sind USER und NICK Nachrichten. Weitere Nachrichten sind obligatorisch. Mittels JOIN kann nun ein Channel betreten werden.

41 Bot-Netz Was ist ein Bot Netz?

42 Bot-Netz Was ist ein Bot Netz? Ein Bot ist ein automatisierter, über ein Netzwerk ferngesteuerter Client. Eine Menge von Bots bilden über eine gemeinsame Kommunikation ein Bot Netz. Häufig wird dazu IRC benutzt.

43 Bot-Netz II Wofür werden Bot Netze üblicherweise benutzt?

44 Bot-Netz II Wofür werden Bot Netze üblicherweise benutzt? Bot Netze werden meist für distributed denial of service (DdoS) Angriffe, häufig auch für Spamming genutzt. Auch in sog. IRC Wars kommen sie zum Einsatz (z. B. rächen eines aus dem Channel geworfenen Teilnehmers).

45 TCP-Port für IRC Welcher TCP Port nutzt IRC in der Regel?

46 TCP-Port für IRC Welcher TCP Port nutzt IRC in der Regel? IRC Server lauschen üblicherweise auf dem Port Es können auch andere Ports im Bereich zum Einsatz kommen, gelegentlich auch Port 7000, der jedoch bereits für einen anderen Dienst reserviert ist.

47 Netzwerk-Audit-Daten Was sind binäre Netzwerk Audit Daten und wie werden sie erzeugt?

48 Netzwerk-Audit-Daten Was sind binäre Netzwerk Audit Daten und wie werden sie erzeugt? Binäre Netzwerk Audit Daten sind rohe Paket Daten welche etwa mittels der pcap Bibliothek mitgeschnitten werden können.

49 Analyse der Log-Daten Für das weitere Vorgehen wurde tcpdump.gz heruntergeladen und entpackt. Danach wurden mittels tcpflow die Daten aus der Anwendungsschicht in einzelne Dateien extrahiert, welche die TCP Verbindungen repräsentieren $ tcpflow -r../tcpdump $ ls -l *06667* -rw-r--r-- 1 root root 282 Apr 30 00: [ ]

50 Analyse der Log-Daten II Weiterhin wurden mit Argus Daten extrahiert $ argus -X -r tcpdump -w tcpdump.argus $ ra -A -c -n -r tcpdump.argus > tcpdump-argus.txt

51 Kontaktierte IRC-Server Mit welchen IRC Servern hat der Honeypot (IP: ) kommuniziert?

52 Kontaktierte IRC-Server Mit welchen IRC Servern hat der Honeypot (IP: ) kommuniziert?

53 Größe des Bot-Netzes Wie viele Maschinen griffen auf das Bot Netz zu, das mit dem Server mit der IP Adresse assoziiert war?

54 Größe des Bot-Netzes Im beobachteten Zeitraum traten 4793 unterschiedliche Hosts dem Netz bei und 4922 Hosts verließen es. Insgesamt lassen sich 5580 unterschiedliche Hosts ausmachen.

55 Größe des Bot-Netzes II

56 Andere Zählweisen Der IRC Server meldete Benutzer Es können auch legitimierte Nutzer sein (keine Bots) Bei Betreten des Bot Channels wurden 3457 Channel Teilnehmer gezählt

57

58 Bandbreite Wie hoch ist die gesamte Bandbreite des Bot Netzes, wenn jeder Bot Netz Rechner über einebandbreite von 56 kbps verfügt?

59 Bandbreite Wie hoch ist die gesamte Bandbreite des Bot Netzes, wenn jeder Bot Netz Rechner über einebandbreite von 56 kbps verfügt? 5,580 bots * 56kbps = 312,480kbps

60 Wer hat angegriffen? Welche IP Absender Adressen wurden für die Angriffe auf den Honeypot verwendet?

61 Wer hat angegriffen? Welche IP Absender Adressen wurden für die Angriffe auf den Honeypot verwendet? Jeder Kontakt mit dem Honeypot kann als feindlich gewertet werden.

62 Involvierte IP-Adressen Generierung einer Liste mit allen IP Adressen: $ ra -A -c -n -r tcpdump.argus \ grep -v man \ awk '{printf("%-21s\n%-21s\n",$6,$8)}' \ grep -v \ sed -e 's/\.[0-9]* *$//' \ sort -t. -u -k1,1n -k2,2n -k3,3n -k4,4n > tcpdump-ips.txt

63 Aufgabe 3 (Arten von Honeypots) Erstellen Sie eine systematische Übersicht der in der Vorlesung vorgestellten Arten von Honeypots und nennen jeweils Vor und Nachteile.

64 Aufgabe 3 (Arten von Honeypots) Erstellen Sie eine systematische Übersicht der in der Vorlesung vorgestellten Arten von Honeypots und nennen jeweils Vor und Nachteile. Unterscheidung anhand 2 Merkmale: Client vs. Server Honeypot low interaction vs. high interaction Honeypot

65 HI Server Honeypots passiv steht im Netz und wartet auf Angreifer bzw. Malware High Interaction: Echte Rechner (+) Reales vollständiges System, reale vollständige Interaktion, reale Erkenntnisse über Angriffstechniken ( ) Angreifer kann vollen Zugang erlangen

66 HI Server Honeypots II Virtualisiert (+) einfache Anwendung: vorgefertigte Honeypot Gast Systeme verfügbar (+) einfache Wartung: nach Einbruch leicht wieder herstellbar (+) weniger riskant: weniger wahrscheinlich, dass Host System korrumpiert wird ( ) Virtualisierung erkennbar Angreifer kann irreführendes Verhalten zeigen

67 LI Server Honeypots Low interaction Beispiel: HoneyD Simuliert Rechner mit IP Adressen für jeden simulierten Rechner ist konfigurierbar, wie das simulierte System aussieht, z.b. Web Server und Linux oder Windows System mit laufenden Diensten (+) große Angriffsfläche mit kleinen Mitteln ( ) bietet u. U. nicht die volle Funktionalität welche beobachtet werden soll

68 Client Honeypots Erlauben die Untersuchung von gegen Clients gerichteten Bedrohungen Browser Exploits Drive by Download Typo squatting / URL hijacking

69 HI Client Honeypots High interaction: (+) Vollständige Funktionalität von bösartigen Seiten untersuchbar ( ) Vorsichtsmaßnahmen erforderlich, um vollen Zugriff des Angreifers zu verhindern

70 LI Client Honeypots Low interaction: (+) Simulation von Verwundbarkeiten des Browsers Angriffe können analysiert werden, ohne erfolgreich zu sein ( ) u. U. nicht volle Funktionalität des Angriffs erkennbar ( ) von Malware als Low Interaction Honeypot identifizierbar

71 Aufgabe 4 (Intrusion-Detection- Ansätze) In der Vorlesung haben Sie folgende Ansätze für Intrusion Detection kennengelernt: Anomalie Erkennung, Politik basierte Erkennung Missbrauchserkennung Erläutern Sie die Funktionsprinzipien der Ansätze. Diskutieren Sie die Vor und Nachteile der Ansätze.

72 Anomalieerkennung (aus den Vorlesungsfolien:) Suche nach Abweichungen von normalem Verhalten zugrunde liegende Annahmen (1) normales Benutzer spezifisches Verhalten kann (statistisch) beschrieben werden (2) Angriffe weichen signifikant von normalem Verhalten ab (3) Abweichungen vom normalen Verhalten repräsentieren Attacken

73 Anomalieerkennung II (+) kein (explizites) Wissen über Angriffe erforderlich (+) unbekannte Angriffe können prinzipiell erkannt werden ( ) Problem: Auswahl Verhaltens spezifischer Merkmale ( ) Verhalten ändert sich über die Zeit ( ) Sicherheitskonformität während der Lernphase muss sichergestellt werden ( ) inhärente Unschärfe der Techniken resultiert in hoher False Positive Rate ( ) basiert auf der Hypothese, dass Angriffe in Anomalien resultieren (führt zu False Negatives) ( ) Erkennungsergebnisse signalisieren Anomalien, aber nicht was genau geschehen ist

74 Politik-basierte Erkennung Suche nach Abweichungen von spezifizierten sicherheitskonformen Aktivitäten (ähnlich Konformitätstests im Protocol Engineering) Prozedur Initialisierung Manuelle/automatische Erstellung Spezifikationen sicherheitskonformer Aktivitäten (typischerweise basierend auf verfügbaren Spezifikationen von Netzwerkprotokollen)

75 Politik-basierte Erkennung II Laufzeit Test, ob Audit Daten den Spezifikationen entsprechen Anzeige von Abweichungen als Angriff

76 Politik-basierte Erkennung III (+) zuverlässigere Ergebnisse als Anomalieerkennung ( ) erfordert vollständige Spezifikation aller sicherheitskonformen Aktivitäten und Zustände

77 Missbrauchserkennung Suche nach Mustern von Angriffen (ähnlich Viren Scannern) Prozedur Initialisierung Laufzeit Manuelle/Automatische Erstellung von Mustern/Modellen bekannter Angriffe (Signaturen) Durchsuchen der Audit Daten nach Instanzen der Signaturen Anzeige von Übereinstimmungen als Angriff

78 Missbrauchserkennung (+) geringe False Positive Rate (äbhängig von der Signaturqualität) ( ) erfordert (explizites) Wissen über Angriffe (Signaturen) ( ) beschränkt auf bekannte Angriffe (meist verwendeter Ansatz)

79 Mischformen Sind Mischformen möglich und hilfreich? Begründen Sie Ihre Antwort.

80 Mischformen

81