Sicherheitsvorfälle erkennen am Beispiel von Linux Syscall-Audit-Logs

Transkript

1 Sicherheitsvorfälle erkennen am Beispiel von Linux Syscall-Audit-Logs Beobachten und Lernen AIT Austrian Institute of Technology, AT 4. November 2016 St. Pölten, Österreich Kontakt:

2 Inhalt Sicherheitsherausforderungen Sicherheitsherausforderungen bei generischen Systeme Linux Audit-Subsystem als Hilfsmittel zur Absicherung Logdatenminieren mit AMiner Grundkonzept Analysemodi Anwendungsbeispiel Zusammenfassung

3 Sicherheitsherausforderungen Generische Desktop- und Serverbetriebssysteme wurden nie auf einen einzigen konkreten Zweck hinentwickelt. Daher: Generischer Kern und Sicherheitskonzept für breite Einsetzbarkeit, spezifische Härtung durch Nutzer notwendig Großer Funktionsreichtum des Kerns und der Applikationen Rückwärtskompatibilität vieler APIs, z:b. Syscall-API Dadurch große Angriffsfläche vorhanden, besonders riskant die kaum genutzten (Kompatibilitäts-)Features. Der wahre Funktionsumfang oft nicht einmal allen Entwicklern, schon gar nicht den Anwendern bekannt! Durch Härtung kann man Angriffsfläche signifikant verringern, dadurch wird aber oft Usability und Wartbarkeit schlechter!

4 Linux Audit-Subsystem Anwendungen und Schadsoftware kommunizieren (vorerst) mit dem Kern nur über Systemaufrufe (Syscalls) Vor oder nach der Bearbeitung des Aufrufs kann Audit-System konfigurierbar eingreifen und Informationen über Aufruf bereitstellen Schnittstelle damit sehr ähnlich zu den von AV-Lösungen genutzten Audit-Informationen können danach von Userspace-Applikationen übernommen, in Logfiles geschrieben oder miniert werden. Idealerweise werden besonders heikle Syscalls sofort remote geloggt, z.b. über die Kombination auditd/rsyslog. Durch Audit-System können Privilegienüberschreitungen (Privilege escalation) von Userspaceprogrammen erkannt werden. Kernellücken werden nur sichtbar falls Kernel nach Aufruf noch teilfunktional, Angriffssyscall selber ungewöhnlich ist.

5 Beispiel 64-Bit Syscall-Table %rax Name Entry point Implementation 0 read sys_read fs/read_write.c 1 Write sys_write fs/read_write.c 2 Open sys_open fs/open.c 3 Close sys_close fs/open.c 4 Stat sys_newstat fs/stat.c 5 Fstat sys_newfstat fs/stat.c 6 Lstat sys_newlstat fs/stat.c 7 Poll sys_poll fs/select.c 8 lseek sys_lseek fs/read_write.c Siehe z.b.: 5

6 Beispiel auditd-regeln... # filter out regular syscalls from internal syslog operation. -a never,exit -F arch=b64 -F uid=syslog -F gid=syslog -F euid=syslog -F egid=syslog -F suid=syslog -F sgid=syslog -F fsuid=syslog -F fsgid=syslog -S getegid -S recvmsg # Ignore calls not so interesting for privilege escalation. -a never,exit -F arch=b64 -S brk -S clock_gettime -S fcntl -S fstat -S futex -S getdents -S getegid -S geteuid -S getgid -S getuid -S lseek -S mmap -S mprotect -S munmap -S nanosleep -S poll -S read -S rt_sigaction -S rt_sigprocmask -S rt_sigreturn -S select -S set_robust_list -S set_tid_address -S socket -S wait4 -S write # Log everything else. -a always,exit 6

7 Beispiel Audit-Logs type=syscall: arch=c000003e syscall=21 success=no exit=-2 a0=7f6987fa9b8a a1=0 a2= a3=7f69881b1480 items=1 ppid=1682 pid=3402 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=3 comm="lxc-start" exe="/usr/bin/lxcstart" key=(null) type=cwd: cwd="/" type=path: item=0 name="/etc/ld.so.nohwcap" nametype=unknown type=proctitle: proctitle="-bash # aureport -if audit.log --syscall --interpret --summary Syscall Summary Report ========================== total syscall ========================== 93 ioctl 89 stat 88 epoll_wait 78 access 7

8 Anomaly Miner (AMiner) Übersicht Basisimplementierung mit: Aktuellem Systemmodell (Parser), Regelbasis Manuelle Konfiguration beim Einzelbetrieb oder Fernsteuerung Echtzeit-Systemüberwachung: Violate/Ignore-Expressions Modulare Konfiguration SIEM-Integration -Benachrichtigungen Besonderheiten Hohe Performanz bei komplexen Regelsets Stream-Processing (keine Lastspitzen) Nutzung von systemübergreifenden Korrelationsregeln und statistischer Analyse 8

9 Verfügbarkeit AMiner: Lizenz: Open Source (GNU GPLv3) In Debian Distribution verfügbar Ubuntu ab Yakkety (Trusty/Xenial auf Anfrage) Links: ÆCID zum Steuern von Aminerclustern in der Produktion: Closed source (verfügbar über AIT) Weiterentwicklung anhand realer externer Anwendungsfälle Interne Nutzung zur Verbesserung der Servicequalität/Sicherheit z.b. im Bereich Telemedizindienste Kontakt: 9

10 AMiner Regelprüfung Verwaltung von baumartigen Regelstrukturen (effizientere Abarbeitung) Regeln in einem Durchgang parallel nutzbar für Whitelisting Blacklisting Reaktion (interne/externe Prozesse anstoßen) Regelprüfung leicht um eigenen Code erweiterbar, z.b. Implementierung von Spezialregeln Optimierung 10

11 AMiner - Whitelisting Einsatz von Whitelisting um folgende Nachteile von Blacklisting zu vermeiden: Nur bekannte Angriffe erkennbar Angriffssignaturen: Erkennung durch Abwandlung des Angriffs umgehbar Nur stark abweichendes, klar bösartiges Verhalten kann so erkannt, werden: Absicht aber nicht durch Anwendung von Regel auf eine Logzeile allein erfassbar: akzeptables Verhalten kann in einem anderen Kontext klarer Angriff sein 11

12 Whitelisting Werte und Wertkombinationen Eine Möglichkeit zum Erlernen eines Normalzustandes: Bisher beobachteten Werte einer Zeilenart sammeln Die Menge der erlaubten Werte eines Typs ermitteln, z.b. die Menge aller User-IDs. Wenn mehrere Werte immer korreliert auftreten, so kann die Kombination erlernt werden Beispiel: SSH logins von bestimmten IPs: Jun 20 08:59:37 localhost sshd[1008]: Accepted publickey for backup from port ssh2: RSA SHA256:9k... Kombination Nutzername/IP/Key muss stimmen! 12

13 Automatisierte Schwachstellensuche im Echtbetrieb Manche Schwachstellen lassen sich aus Auditlogs beweisen oder vermuten, z.b. Folgen von Symbolic Links eines anderen Users (CWE-59,..) Laden von Bibliotheken aus nicht vertrauenswürdigen Verzeichnissen (CWE-426) Erstellung temporäre Dateien in /tmp ohne O_EXCL, mit falscher umask (CWE-377, CWE-378) Stdout/stdin/stderr-Existenz bei Programmstart nicht geprüft Signale an Prozesse in anderen Prozessgruppen senden ohne /proc/[pid] geöffnet zu halten (VMA!) Chroot betreten ohne chdir, Filedescriptoren von außerhalb zu schließen (CWE-243) (Common Weakness Enumeration) 13

14 Anwendungsbeispiel - Schwachstellenerkennung Anwendungsbeispiel: LXC (Linux Containers) erlaubt leichtgewichtige Virtualisierung von Linuxgastsystemen Im Gastsystem scheint Administrator UID=0 zu sein, aus Host-Sicht ist er aber normaler User Ein Container kann von außen mit lxc-attach betreten werden, z.b. für automatisierte Wartung 14

15 Anwendungsbeispiel - Problematische Sequenzen: # Verzeichnis auf Host geöffnet, nicht geschlossen. open("/proc", O_RDONLY O_DIRECTORY) = 7 open("/proc/1632/ns/user", O_RDONLY O_CLOEXEC) = 9 # Über setns chroot in den Gast durchgeführt, fd=7 mitgenommen setns(9, 0) = 0 # Im Gast capabilities ausgelesen (nicht vertrauenswürdig)... open("/proc/sys/kernel/cap_last_cap", O_RDONLY) = 9 #... und Inhalt genutzt prctl(pr_capbset_drop, CAP_SYS_MODULE) = 0 # Sich zum Gast-Root-User gemacht und Verzeichnis noch immer offen setuid(0) = 0 # Endlich fd=7 geschlossen bevor Shell im Gastsystem gestartet close(7) = 0 execve("/bin/bash", ["/bin/bash"], [/* 19 vars */]) = 0 15

16 Anwendungsbeispiel - Problematische Sequenzen: Bei Kenntnis der vulnerablen Aufrufe kann dafür ein Exploit entwickelt werden: Funktionsprinzip wie Drehtür: Bösartiger Prozess sitzt im Gast Betritt gutartiger Prozess von außen das Gastsystem, so verlässt in dem Moment der andere Prozess den Gast und bekommt Zugriff auf den Host Exploitkomplexität gering: 63 Zeilen C 20 Zeilen Shellscript Ergebnis: typischer, neuer Zeroday 16

17 Anwendungsbeispiel Normalverhalten ermitteln Obwohl viele Anwendungen installiert, so werden oft nur sehr wenige genutzt und das auch nur von wenigen Usern (UIDs) Im Normalbetrieb kann daher mit AMiner eine Liste dieser Kombinationen aufgebaut werden: # Detect strange architecture/syscall combinations from aminer.analysis import NewMatchPathValueComboDetector servicedetector=newmatchpathvaluecombodetector( analysiscontext.aminerconfig, [.../host', '.../arch', '.../syscall', '.../uid', '.../euid',..., '.../fsgid', '.../executable'], anomalyeventhandlers, peristenceid='audispdsyscallcombos', allowmissingvaluesflag=false, autoincludeflag=true) Durch autoincludeflag=true werden neue Kombinationen automatisch hinzugefügt, getrennt nach überwachtem Host. 17

18 Demo LIVE-Demo (wenn Zeit und Beameranschluss funktioniert) 18

19 Anwendungsbeispiel Erkennung des Zerodays Beim Anwenden des Zero-Days werden verschiedenste atypische Syscalls erkannt: Trivial: Neuer Programmname LxcAttachEscape, Gegenmaßnahme: Umbenennen oder Code durch überschriebene Library in existierendes Binary einbringen # /tmp/test The child stack pointer is 0x7ffc93e71ef8 Found at offset 0x588 Found at offset 0x5e8 Found at offset 0x700 Found at offset 0x1ad0 Leaving container... Um den Race zu gewinnen werden named pipes genutzt: anlegen über mknod schlägt trotzdem an (sonst nie genutzt) find dupliziert nicht Filehandles über dup2 Insgesamt treten 645 Anomalien nur durch den Aufruf des Exploits auf! 19

20 Anwendungsbeispiel Statistik der Abweichungen ========================== total syscall ========================== 1527 [magic syscall] 36 fcntl64 30 open 20 ioctl 8 fstat64 8 openat 7 stat 13 access 2 connect 2 getgroups 2 fchdir 2 statfs64 2 faccessat 1 execve 1 mknod 1 uname... 20

21 Zusammenfassung Mit Linux Boardmitteln (kernel, auditd) und freier Software AMiner können sicherheitsrelevante Informationen aus dem Audit- Subsystem miniert werden Es kann eine systemspezifische Baseline der üblichen Aufrufkombinationen erstellt werden Es können durch Angreifer ausnutzbare Aufrufkombinationen erkannt werden, ohne dass diese bereits angegriffen worden wären. Selbst unbekannte Schadsoftware erzeugt eine recht starkes Signal, wenn sie nicht exakt an das Nutzungsverhalten der jeweiligen Maschine angepasst wird. 21

22 Ausblick Evaluierung des Ansatzes im Produktionsumfeld (Enumerierung vulnerabler Software in Produktion) Entwicklung von vollautomatisierter Erkennung von vulnerablen Syscallsequenzen (bzw. Graphen) CALL FOR CONTRIBUTIONS: Es gibt eine enge Kooperation zwischen AIT und FH St. Pölten Wir vergeben laufend Bachelor- und Masterarbeiten Berufspraktikum 6-10 Monate im ICT Security Research Team Bei Interesse, bitte einfach melden (siehe Kontaktdaten) 22

23 Danke für Ihre Aufmerksamkeit! Diskussion? Demonstration, spezifische Vor- und Nachteile je nach Einsatzgebiet, Hands-On-Experience vor dem Hörsaal! DI Roman Fiedler Scientist Digital Safety & Security Department AIT Austrian Institute of Technology 23