Betriebssysteme I: Klassische UNIX Exploits

Größe: px

Ab Seite anzeigen:

Download "Betriebssysteme I: Klassische UNIX Exploits"

Richard Simen
vor 6 Jahren
Abrufe

1 Proseminar Secure Computing Markus Sieber 6. Dez 2006

2 Agenda 1 Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken 2 gegen Anwendungen im Userspace Exploits gegen den Kernel 3 Userland Kernel Erkennmöglichkeiten

3 CPU Modi Agenda Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Heutige Prozessoren unterstützen mindestens 2 Betriebsmodi: Kernelmode: Vollständiger Zugriff aus Systemressourcen erlaubt Usermode: Zugriff stark limitiert

4 Mehrbenutzersystem Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Alle Prozesse laufen in dem Kontext eines Benutzers Jeder Benutzer besitzt einge eindeutige ID: die UID Dem Benutzer root - UID 0 - wird vom Kernel voller Zugriff auf Alles gewährt.

5 Zugriffskontrolle im Kernel Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Zu jedem Prozess wird die UID des Anwenders gespeichert. Für jede Zugriffskontrolle wird diese gespeicherte ID benutzt um die Rechte zu bestimmen: Für UID = 0: alles erlaubt Für alle anderen: eingeschränkte Rechte

6 Entstehen von Lücken Usermode/Kernelmode Mehrbenutzersystem Zugriffskontrolle im Kernel Entstehen von Lücken Bufferoverflows Mangelnde Überprüfung in priviligierten Programmen

7 Was sind gegen Anwendungen im Userspace Exploits gegen den Kernel Exploits sind Programme, die Fehler in Software ausnutzen, um die eigenen Rechte zu erweitern sind Programme, die die Nutzerrechte auf die Administratorrechte ausweiten

8 gegen Anwendungen im Userspace Exploits gegen den Kernel gegen Anwendungen im Userspace Welche Anwendungen sind betroffen? alle, die durch Usereingaben gesteuert werden können

9 Exploits gegen den Kernel gegen Anwendungen im Userspace Exploits gegen den Kernel Kernel Exploits nutzen Fehlimplementierungen im Kernel um die eigenen Rechte zu erweitern. Beispiel: Ptrace.

10 Was sind Agenda Userland Kernel Erkennmöglichkeiten sind Programme, die bösartige Hacker auf einem eingebrochenen System installieren beinhalten eine Backdoor, durch die der Cracker wieder Zugriff auf das System erlangen kann tarnen sich selbst, damit sie unentdeckt bleiben können

11 Userland Agenda Userland Kernel Erkennmöglichkeiten Stellen eine Backdoor bereit, über die der Angreifer jederzeit wieder vollen Zugriff auf das System bekommt Ändern vorhandene Programme, wie ls, netstat usw. so ab, dass der Prozess für die Backdoor versteckt wird Zum Teil implementieren sie auch Funktionen, um die Spuren aus den Logs zu entfernen

12 Kernel Agenda Userland Kernel Erkennmöglichkeiten Stellen eine Backdoor bereit, über die der Angreifer jederzeit wieder vollen Zugriff auf das System bekommt Ändern (zb durch ein nachgeladenes Modul) den Kernel dahingehend, dass er keine Informationen zu dem Backdoorprozess herausgibt

13 Beispiel: Adore-NG Userland Kernel Erkennmöglichkeiten Adore-NG Features Leichte Installation über ein ladbares Modul Dateien, Verzeichnisse, Prozesse und Sockets sind versteckbar Logs werden automatisch gefiltert

14 Beispiel: Adore-NG Userland Kernel Erkennmöglichkeiten Adore-NG Userinterface Bei Installation wird ADORE KEY festgelegt Nachdem eine Shell mit Hilfe des ADORE KEYs authentifiziert ist: Admin Funktionalität des aktiviert Clientprogramm ava ist mit dem Schlüssel kompiliert worden. Dieses Programm übernimmt die Authentifizierung.

15 Userland Kernel Erkennmöglichkeiten Grunsätzliches zum Erkennen von Userland : Die Tarnung von Userland lässt sich durch Benutzung sicherer Software umgehen IDS guter Schutz gegen Userland, Änderungen an Binaries fallen gleich auf

16 Userland Kernel Erkennmöglichkeiten Grunsätzliches zum Erkennen von Userland : Die Tarnung von Userland lässt sich durch Benutzung sicherer Software umgehen IDS guter Schutz gegen Userland, Änderungen an Binaries fallen gleich auf Kernel : Perfekte Tarnung theoretisch möglich In der Praxis sind gewisse Techniken benutzbar, da alle manche Informationslecks übersehen

17 Userland Kernel Erkennmöglichkeiten Mögliche Techniken im laufenden Betrieb Keine Software ist perfekt und damit vergessen auch oft bestimme Spuren zu verwischen: Existenz von Prozessen über mehrere Schnittstellen prüfen: Signal an alle Prozesse von schicken und dann überprüfen, ob dazu auch ein /proc Eintrag existiert Eine Partition mit einem Userland Filesystem Programm anschauen und nach Unterschieden zum vom Kernel gemounteten suchen Kernelspeicher nach bekannten ignaturen durchsuchen

18 Rescue System Agenda Userland Kernel Erkennmöglichkeiten Im Rescue System kann das Rootkit sich nicht verstecken. Durch Überprüfung aller Dateien mit der Sicherheitskopie lassen sich schnell geänderte Dateien finden, die zum Laden des fungieren.

19 Vielen Dank für die Aufmerksamkeit!

20 Discuss! Hältst du dein System aktuell, um gegen Viren, die aktuelle Sicherheitslücken benutzen immun zu sein? Denkst du, du würdest ein Rootkit auf deinem Rechner bemerken?

Ähnliche Dokumente

Sicherheit allgemein

Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten