Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Transkript

1 Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH

2 Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis 10 Abkürzungsverzeichnis 11 1 Einleitung Ausgangssituation Forschungsstand \ Zielsetzung der Studie Aufbau der Studie Notation Grundlagen von Exploiting Frameworks und Intrusion Detection Systemen Grundlegende Begriffe Sicherheitslücke (Vulnerability) Exploit.' Pufferüberlauf (Buffer Overflow) / Shellcode 23 i Spoofing \ Denial of Service Funktionsweise von Exploiting Frameworks Aufgaben, Architektur Metasploit Framework (MSF) Architektur Benutzerschnittstellen Funktionsweise von Intrusion Detection Systemen (IDS) Definition Intrusion Detection... " Definition Intrusion Detection System Taxonomie von IDS Komponenten eines IDS 33

3 Netz-basierte Sensoren % Host-basierte Sensoren Methoden der Angriffserkennung Erkennung von Angriffsmustern ' Anomalieerkennung Intrusion Protection Systeme (IPS) " Falschmeldungen (False Positives und False Negatives) Sourcefire Snort (IDS/IPS) Architektur und Funktionsweise Preprozessoren Signaturen 38 3 Konzepte zur Verschleierung von Angriffen Allgemeine Verschleierungs-Techniken Insertion / Injection Evasion Denial of Service Obfuscation _^ Angriffstechnik der Sicherungsschicht (OSI-Schicht 2) Angriffstechniken der Netzwerkschicht (OSI-Schicht 3)..-' Ungültige IP-Header Felder IP Optionen Fragmentierung von IP-Paketen.< Angriffstechniken der Transportschicht (OSI-Schicht 4),: Ungültige TCP-Header Felder.,.' TCP Optionen.< TCP Stream Reassembly TCP Control Block (TCB) ^ Angriffstechniken der Anwendungsschicht (OSI-Schicht 5-7) Coding Evasion Directory-Traversal Evasion Evasion durch polymorphen Shellcode 52 4 Verschleierung von Angriffen in Exploiting Frameworks Verschleierung von Angriffen im Metasploit Framework Implementierte Insertion- und Evasion Techniken Implementierte Obfuscation Techniken Verschleierung des Angriffscodes Verschleierung des Shellcode Filterung von erkennbaren Angriffen auf Clientseite (IPS-Filter Plugin) 58

4 4.2 Verschleierung von Angriffen in Core Jmpact Verschleierung von Angriffen in SAINT exploit 59 5 Bewertung von NIDS unter dem Gesichtspunkt von Evasion Techniken Bewertungsparameter für Network Intrusion Detection Systeme Entwurf der Testumgebung Anforderungsanalyse ' Auswahl der zu evaluierenden Network Intrusion Detection Systeme Auswahl der Testverfahren Tests der Evasion Techniken der Netzwerk-und Transportschicht Tests der Obfuscation Techniken der Anwendungsschicht Konfiguration der Testumgebung _ Realisierung der Testumgebung 83 5:3.1 Einrichtung der Virtuellen Maschinen in VirtualBox Einrichtung des Metasploit Exploiting Frameworks Einrichtung der Netzwerkkomponenten (Hub, Router) Einrichtung des NIDS Snort Einrichtung des NIDS / IPS Untangle..-^ Einrichtung des NIDS Bro Einrichtung des NIDS Securepoint..'" Einrichtung der Zielsysteme Integration der Cisco Appliances Einrichtung des Cisco 2620 Routers (IP Plus) Einrichtung des Cisco 4215 Sensors Durchführung der Tests : Auswertung der Testergebnisse ' Auswertung der Protokolldateien ^ Darstellung der Testergebnisse Zusammenfassende Bewertung der NIDS Zusammenfassung Ansätze zur verbesserten Erkennung von verschleierten Angriffen Maschinelles Lernen für Echtzeit-Intrusion-Detection Verbesserung von NIDS durch Host-basierte Informationen Verwendung von Grafikprozessoren zur Mustererkennung Dynamische Taint-Analyse zur Erkennung von Angriffen Normalisierung von Netzverkehr zur Beseitigung von Mehrdeutigkeiten "Active Mapping Zusammenfassung und Fazit 115

5 Literaturverzeichnis _, 117 i A Bewertungsparameter der evaluierten NIDS 122 B Konfigurationen B;l Snort Version Konfigurationsdatei snort.conf 129 B.2 Cisco 4215 IDS Sensor - Konfiguration C Quellcode 135 C.l Metasploit Framework Obfuscation Test Script (msfauto.sh) 135 C.2 Metasploit IDS Filter Plugin (ids_filter.rb) 145 C.3 Metasploit Exploit ms08_067 netapi Modulinformationen 148 C.4 Metasploit Verschleierungs-Optionen des. Moduls mso8 067_jietapi 151 Stichwortverzeichnis 153