Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Ähnliche Dokumente
Intrusion Detection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Yvonne Höfer-Diehl. Hochs chulcontrolling. %ur Sicherung der Lehreffektivität

Petri-Netzbasierte Modellierung und. Analyse von Risikoaspekten in. Zur Erlangung des akademischen Grades eines. Doktors der Wirtschaftswissenschaften

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

How-to: Webserver NAT. Securepoint Security System Version 2007nx

IDS/IPS Intrusion Detection System/Intrusion Prevention System

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier,

Intrusion Detection & Response

Markteintritt und -bearbeitung in der Automobilindustrie: Volkswagen in den USA

Identifikation und Bewertung der Konfigurationen internationaler Marktein- und Marktaustrittsstrategien junger Technologieunternehmen

Strategisches Supply Chain Controlling in der Automobilwirtschaft

Handbuch Interne Kontrollsysteme (IKS)

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

IDS Evasion: Eine technische Einführung

Verbesserung der Architektur und Dokumentation der DPP-Software Saros. Slawa Belousow Institut für Informatik FU Berlin

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Teil I: Ausgangslage und theoretischer Hintergrund 7

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis. Notation und physikalische Größen.

Echtzeit-Bewertung von Optionen mit Marktpreisen durch Web-Mining und Neurosimulation

Christoph Puls. Zielorientiertes Management. von Logistikdienstleistungen in. Netzwerken kooperierender. Unternehmen

Ganzheitliche Architektur zur Entwicklung und Analyse sicherheitskritischer Systeme und Anwendungen

IPv6 Intrusion Detection mit Snort-Plugin. Martin Schütte

Praxisbuch Prozessoptimierung

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

GSM: IDS Optimierung. Inhalt. Einleitung

Inhaltsverzeichnis 1 TCP/IP-Dienste konfigurieren (x)inetd xinetd inetd 2 TCP/IP-Standardclients whois telnet ftp rlogin rcp rsh ssh

Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

Inhaltsverzeichnis 1

Variantenmanagement modellbasierter Funktionssoftware mit Software-Produktlinien

Inhaltsübersicht... V. Inhaltsverzeichnis... VI. Abbildungsverzeichnis... XIII. Tabellenverzeichnis... XVII. Abkürzungsverzeichnis...

Intrusion Prevention mit IPTables. Secure Linux Administration Conference, 6. / 7. Dec Dr. Michael Schwartzkopff. iptables_recent, SLAC 2007 / 1

IDS Intrusion Detection Systems

Penetration Test Zielsetzung & Methodik

Patrick Bartsch. Verbesserung. der Patientensicherheit. im Krankenhaus

Strategie zur Verfolgung einzelner IP-Pakete zur Datenflussanalyse

Kalkulation von impliziten Optionsrechten des Kunden in der privaten Wohnungsbaufinanzierung

Detection of Attacks and Anomalies in HTTP Traffic Using Instance-Based Learning and KNN Classification

Identifikation von Erfolgsfaktoren und Ableitung von Handlungsempfehlungen für die Implementierung eines Qualitätsmanagementsystems in der Apotheke

1. Vorwort Warum gibt es brand-wand? Der etwas andere Weg Zielgruppe Danksagung... 3

Abbildungsverzeichnis... IX. Tabellenverzeichnis... XV. Abkürzungsverzeichnis... XIX. 1 Einleitung Problemstellung und Motivation...

Inhaltsverzeichnis. Abkürzungsverzeichnis 15. Tabellen Verzeichnis 17. Abbildungsverzeichnis 19

Wandlungsfähigkeit von Enterprise Content Management

Berufliche Handlungskompetenz als Studienziel

Forschen und Wissen - Wirtschaftswissenschaften. Thilo Edinger. Cafeteria-Systeme

KurtEbert. Warenwirtschaftssysteme und Warenwirtschafts- Controlling. Verlag Peter Lang Frankfurt am Main Bern New York

Sicherheit in Netzen- Tiny-Fragment

Intrusion Detection and Prevention

Betriebswirtschaftliche Grundsätze für. Struktur, Elemente und Ausgestaltung nach IDW PS 980. Von Dr. Karl-Heinz Withus

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Reihe: Supply Chain, Logistics and Operations Management Band 1. Herausgegeben von Prof. Dr. Dr. h. c. Wolfgang Kersten, Hamburg

Entwicklung domänenspezifischer Software

Analyse, Bewertung und Ermittlung von Anforderungen an Sozialeinrichtungen auf Baustellen im Arbeitsstàttenrecht

Cisco Systems Intrusion Detection Erkennen von Angriffen im Netzwerk

Inhaltsverzeichnis. Inhaltsübersicht. Abbildungsverzeichnis XIX. AbkUrzungsverzeichnis. Tabellenverzeichnis

Internet-Sicherheit. Browser, Firewalls und Verschlüsselung. von Kai Fuhrberg. 2. Auflage

Intrusion Detection Systeme

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Heterogene Informationssysteme

Workflow Systeme mit der Windows Workflow Foundation

Cisco Security Monitoring, Analysis & Response System (MARS)

Projektmanagement und Prozessmessung

Corporate Social Responsibility am Beispiel der deutschen Versicherungsbranche und der ARAG SE

Abkürzungsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. 1 Einleitung 1

Effizienz Flexibilität und Agilität Kosten senken Betriebsaufwand Konsolidierung Mobilität und Zeit für sich

Integrierte Nutzenanalyse zur Gestaltung computergestützter Informationssysteme

Evaluierung und Auswahl von

Optimierung des Prozesses der Leistungserstellung in der Jahresabschlußprüfung durch den Einsatz von Projektmanagement

Warum ist Frühwarnung interessant?

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

JavaIDS Intrusion Detection für die Java Laufzeitumgebung

Auswirkungen steuerlicher Zinsabzugsbeschränkungen auf Finanzierungsentscheidungen von Unternehmen

Internes Audit in universitären Hochschulen

Abbildungsverzeichnis. Tabellenverzeichnis. Algorithmenverzeichnis. Abkürzungsverzeichnis. Symbolverzeichnis

Monika Nörr. Analyse der Entwicklung. von Serial Entrepreneurs. aus Hightech-Branchen. - mit einem Schwerpunkt auf dem Human- und Sozialkapital

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Strategische Umsetzung von Corporate. Mittelständigen Unternehmen in Bayern. unter besonderer Berücksichtigung der

Inhaltsverzeichnis... XI. Abbildungsverzeichnis... XV. Tabellenverzeichnis... XIX. Abkürzungsverzeichnis... XXIII. Symbolverzeichnis...

Fachlogik umsetzen. Business Rules zwischen Konzept und IT-System. Dirk Ziegemeyer

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

Transkript:

Thomas Stein Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks Diplomica Verlag GmbH

Inhaltsverzeichnis Abbildungsverzeichnis 7 Tabellenverzeichnis 9 Listingverzeichnis 10 Abkürzungsverzeichnis 11 1 Einleitung 15 1.1 Ausgangssituation 15 1.2 Forschungsstand \ 16 1.3 Zielsetzung der Studie 16 1.4 Aufbau der Studie 17 1.5 Notation -.. 17 2 Grundlagen von Exploiting Frameworks und Intrusion Detection Systemen 18 2.1 Grundlegende Begriffe 18 2.1.1 Sicherheitslücke (Vulnerability) 18 2.1.2 Exploit.' 19 2.1.3 Pufferüberlauf (Buffer Overflow) / 21 2.1.4 Shellcode 23 i 2.1.5 Spoofing \ 24 2.1.6 Denial of Service 25 2.2 Funktionsweise von Exploiting Frameworks.. 26 2.2.1 Aufgaben, 26 2.2.2 Architektur 27 2.2.3 Metasploit Framework (MSF) 28 2.2.3.1 Architektur 29 2.2.3.2 Benutzerschnittstellen 30 2.3 Funktionsweise von Intrusion Detection Systemen (IDS) 32 2.3.1 Definition Intrusion Detection... ". 32 2.3.2 Definition Intrusion Detection System 32 2.3.3 Taxonomie von IDS 32 2.3.4 Komponenten eines IDS 33

2.3.4.1 Netz-basierte Sensoren %. 33 2.3.4.2 Host-basierte Sensoren 34 2.3.5 Methoden der Angriffserkennung 35 2.3.5.1 Erkennung von Angriffsmustern 35 2.3.5.2 ' Anomalieerkennung 35 2.3.6 Intrusion Protection Systeme (IPS) 35 2.3.7 " Falschmeldungen (False Positives und False Negatives) 35 2.3.8 Sourcefire Snort (IDS/IPS) 36 2.3.8.1 Architektur und Funktionsweise 36 2.3.8.2 Preprozessoren 37 2.3.8.3 Signaturen 38 3 Konzepte zur Verschleierung von Angriffen 40 3.1 Allgemeine Verschleierungs-Techniken 40 3.1.1 Insertion / Injection 40 3.1.2 Evasion 42 3.1.3 Denial of Service 42 3.1.4 Obfuscation _^. 44 3.2 Angriffstechnik der Sicherungsschicht (OSI-Schicht 2) 44 3.3 Angriffstechniken der Netzwerkschicht (OSI-Schicht 3)..-'. 45 3.3.1 Ungültige IP-Header Felder 46 3.3.2 IP Optionen 46 3.3.3 Fragmentierung von IP-Paketen.< 47 3.4 Angriffstechniken der Transportschicht (OSI-Schicht 4),:... 49 3.4.1 Ungültige TCP-Header Felder.,.'. 50 3.4.2 TCP Optionen.< 50 3.4.3 TCP Stream Reassembly 51 3.4.4 TCP Control Block (TCB) ^ 51 3.5 Angriffstechniken der Anwendungsschicht (OSI-Schicht 5-7) 52 3.5.1 Coding Evasion 52 3.5.2 Directory-Traversal Evasion 52 3.5.3 Evasion durch polymorphen Shellcode 52 4 Verschleierung von Angriffen in Exploiting Frameworks 54 4.1 Verschleierung von Angriffen im Metasploit Framework 54 4.1.1 Implementierte Insertion- und Evasion Techniken 55 4.1.2 Implementierte Obfuscation Techniken 55 4.1.2.1 Verschleierung des Angriffscodes 55 4.1.2.2 Verschleierung des Shellcode 57 4.1.3 Filterung von erkennbaren Angriffen auf Clientseite (IPS-Filter Plugin) 58

4.2 Verschleierung von Angriffen in Core Jmpact 59 4.3 Verschleierung von Angriffen in SAINT exploit 59 5 Bewertung von NIDS unter dem Gesichtspunkt von Evasion Techniken 60 5.1 Bewertungsparameter für Network Intrusion Detection Systeme 60 5.2 Entwurf der Testumgebung 65 5.2.1 Anforderungsanalyse '.. 65 5.2.2 Auswahl der zu evaluierenden Network Intrusion Detection Systeme.. 65 5.2.3 Auswahl der Testverfahren 67. -5.2.3.1 Tests der Evasion Techniken der Netzwerk-und Transportschicht 68 5.2.3.2 Tests der Obfuscation Techniken der Anwendungsschicht... 74 5.2.4 Konfiguration der Testumgebung _ 81 5.3 Realisierung der Testumgebung 83 5:3.1 Einrichtung der Virtuellen Maschinen in VirtualBox 83 5.3.1.1 Einrichtung des Metasploit Exploiting Frameworks 83 5.3.1.2 Einrichtung der Netzwerkkomponenten (Hub, Router)... 84 5.3.1.3 Einrichtung des NIDS Snort 87 5.3.1.4 Einrichtung des NIDS / IPS Untangle..-^ 89 5.3.1.5 Einrichtung des NIDS Bro 91 5.3.1.6 Einrichtung des NIDS Securepoint..'". 92 5.3.1.7 Einrichtung der Zielsysteme 92 5.3.2 Integration der Cisco Appliances 92 5.3.2.1 Einrichtung des Cisco 2620 Routers (IP Plus) 93 5.3.2.2 Einrichtung des Cisco 4215 Sensors 94 5.4 Durchführung der Tests : 97 5.5 Auswertung der Testergebnisse ' 98 5.5.1 Auswertung der Protokolldateien ^ 98 5.5.2 Darstellung der Testergebnisse 100 5.5.3 Zusammenfassende Bewertung der NIDS 103 5.5.4 Zusammenfassung. 105 6 Ansätze zur verbesserten Erkennung von verschleierten Angriffen 109 6.1 Maschinelles Lernen für Echtzeit-Intrusion-Detection 109 6.2 Verbesserung von NIDS durch Host-basierte Informationen 109 6.3 Verwendung von Grafikprozessoren zur Mustererkennung 110 6.4 Dynamische Taint-Analyse zur Erkennung von Angriffen 111 6.5 Normalisierung von Netzverkehr zur Beseitigung von Mehrdeutigkeiten 112 6.6 "Active Mapping 113 7 Zusammenfassung und Fazit 115

Literaturverzeichnis _, 117 i A Bewertungsparameter der evaluierten NIDS 122 B Konfigurationen 129 1 B;l Snort Version 2.8.4.1 - Konfigurationsdatei snort.conf 129 B.2 Cisco 4215 IDS Sensor - Konfiguration 133 2 C Quellcode 135 C.l Metasploit Framework Obfuscation Test Script (msfauto.sh) 135 C.2 Metasploit IDS Filter Plugin (ids_filter.rb) 145 C.3 Metasploit Exploit ms08_067 netapi Modulinformationen 148 C.4 Metasploit Verschleierungs-Optionen des. Moduls mso8 067_jietapi 151 Stichwortverzeichnis 153

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback