Intrusion Detection System Evasion durch Obfuscation in Exploiting Frameworks

Bachelorarbeit von Thomas Stein

Einleitung:

1.1 Ausgangssituation:

Ein erhöhter Schutzbedarf von IT-Systemen kann durch Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme bzw. Intrusion Prevention Systeme (IDS/IPS) gewährleistet werden,die bestimmten Datenverkehr blockieren oder Angriffe erkennen und verhindern sollen. Ein Beispiel für einen Angriff ist das Ausnutzen einer Sicherheitslücke durch einen Exploit in einem Dienst mit dem Ziel eigenen Code auszuführen und die Kontrolle über das IT-System zu erlangen. Exploiting Frameworks stellen für solche Angriffe eine Art Baukasten dar, mit dem ein Angreifer den Exploit anpassen und automatisiert gegen ein Zielsystem ausführen kann. Viele Angriffe werden jedoch durch Schutzmaßnahmen wie IDS erkannt bzw. im Falle von Intrusion Prevention Systemen (IPS) abgewehrt. Um eine Erkennung derartiger Angriffe zu verhindern, existieren mehrere kombinierbare Techniken, die jeweils auf verschiedenen Schichten des ISO OSI Modells angewendet werden, um die Mechanismen von IDS/IPS zur Erkennung von Angriffen zu umgehen. Auf der Netzwerkschicht (OSI-Schicht 3) werden beim Insertion- bzw. beim Evasion-Angriff zusätzliche Pakete in den Datenstrom zwischen Angreifer und Zielsystem eingefügt, die vom IDS und dem IT-System des Opfers unterschiedlich interpretiert bzw. verworfen werden. Durch den unterschiedlichen Datenstrom kann so z.B. das Pattern-Matching bei Signatur-basierten IDS außer Kraft gesetzt werden. Die Fragmentierung von IP Paketen (Fragmentation), sowie eine Aufteilung der Angriffsdaten auf der Transportschicht (OSI-Schicht 4) in kleine TCP-Segmente stellen weitere Möglichkeit für Insertion- oder Evasion-Angriffe dar, da IT-Systeme je nach verwendetem TCP/IP Stack Reassembly-Strategien mit unterschiedlichem Verhalten aufweisen können. Techniken zur Verschleierung von Angriffen existieren auch auf Anwendungsebene (OSI-Schicht 5-7), indem die Daten im Protokoll der Anwendung bei gleichbleibender Semantik umgeformt werden. Um derartige Angriffe zu erkennen, muss das IDS über eine entsprechende Logik für das Anwendungsprotokoll verfügen.

Unabhängig von den Insertion- oder Evasion Techniken der tieferen OSI-Schichten kann auch der Angriffscode (Exploit-Code) bei gleichbleibender Semantik so umgeformt bzw. verschleiert (Obfuscation) werden, dass dieser nicht oder schlechter durch IDS/IPS erkannt wird. Eine simple Form ist die Umcodierung des Schadcodes z.B. in das BASE-64, TAR oder ZIP Format. Eine erweiterte Form ist die Umwandlung des Angriffscode in einen sich selbst entschlüsselnden polymorphen Shellcode. Um eine Erkennung von Angriffen zu erschweren, kann ein IDS auch durch eine hohe Anzahl von vermeintlichen Angriffen so überlastet werden, dass alle Ressourcen belegt sind und tatsächliche Angriffe nicht mehr erkannt werden können (Denial-of-Service Angriff). In einigen Exploiting Frameworks, wie z.B. dem Metasploit Framework (MSF), SAINT Exploit oder Core Impact, sind bereits einige der dargestellten Optionen zur Verschleierung von Angriffen implementiert. Dies stellt ein Risiko für Unternehmen dar, da erfolgreiche Angriffe auf IT-Systeme in diesem Fall nicht mehr durch IDS erkannt werden können.

1.2 Forschungsstand:

Insertion und Evasion wurde, u.a. im Zusammenhang mit IDS, in vielen Veröffentlichungen analysiert. Bereits 1998 wurden die verschiedenen Techniken dargestellt. Die Literatur beschränkt sich auf die Techniken der Insertion und Evasion im Zusammenhang mit der Erkennung von Angriffen durch IDS und betrachtet nicht die Integration dieser Techniken in Exploiting Frameworks sowie den sich hieraus ergebenden Risiken und Möglichkeiten.

1.3 Zielsetzung der Arbeit:

Es werden Techniken und Konzepte analysisert und bewertet, mit denen Angriffe so gestaltet werden, dass sie nicht von IDS/IPS erkannt werden können (Insertion, Evasion und Obfuscation). Durch die Integration dieser Techniken in Exploiting Frameworks wird zudem der Beitrag von Exploiting Frameworks unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen untersucht. Mehrere ausgewählte NIDS werden unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen bewertet. Hierzu werden die Grundlagen von Exploiting Frameworks, IDS/IPS und von Techniken zur Verschleierung von Angriffen dargestellt und eine Testumgebung sowie Testszenarien erstellt, in denen am Beispiel des Metasploit Exploiting Frameworks und mehreren Network Intrusion Detection Systemen (NIDS) die Untersuchungen durchgeführt werden. Als NIDS wird u.a. Snort eingesetzt. Abschließend wird eine Beurteilung der Möglichkeiten und den resultierenden Folgen gegeben, die aus dem Einsatz von Techniken zur Verschleierung von Angriffen in Exploiting Frameworks resultieren.

Inhaltsverzeichnis:

	Abbildungsverzeichnis	6
	Tabellenverzeichnis	8
	Listingverzeichnis	9
	Abkürzungsverzeichnis	10
1.	Einleitung	14
1.1	Ausgangssituation	14
1.2	Forschungsstand	15
1.3	Zielsetzung der Arbeit	15
1.4	Aufbau der Arbeit	16
1.5	Notation	16
2.	Grundlagen von Exploiting Frameworks und Intrusion Detection Systemen	17
2.1	Grundlegende Begriffe	17
2.1.1	Sicherheitslücke (Vulnerability)	17
2.1.2	Exploit	18
2.1.3	Pufferüberlauf (Buffer Overflow)	20
2.1.4	Shellcode	22
2.1.5	Spoofing	23
2.1.6	Denial of Service	24
2.2	Funktionsweise von Exploiting Frameworks	25
2.2.1	Aufgaben	25
2.2.2	Architektur	26
2.2.3	Metasploit Framework (MSF)	27
2.2.3.1	Architektur	28
2.2.3.2	Benutzerschnittstellen	29
2.3	Funktionsweise von Intrusion Detection Systemen (IDS)	31
2.3.1	Definition Intrusion Detection	31
2.3.2	Definition Intrusion Detection System	31
2.3.3	Taxonomie von IDS	31
2.3.4	Komponenten eines IDS	32
2.3.4.1	Netz-basierte Sensoren	32
2.3.4.2	Host-basierte Sensoren	33
2.3.5	Methoden der Angriffserkennung	34
2.3.5.1	Erkennung von Angriffsmustern	34
2.3.5.2	Anomalieerkennung	34
2.3.6	Intrusion Protection Systeme (IPS)	34
2.3.7	Falschmeldungen (False Positives und False Negatives)	34
2.3.8	Sourcefire Snort (IDS/IPS)	35
2.3.8.1	Architektur und Funktionsweise	35
2.3.8.2	Preprozessoren	36
2.3.8.3	Signaturen	37
3.	Konzepte zur Verschleierung von Angriffen	39
3.1	Allgemeine Verschleierungs-Techniken	39
3.1.1	Insertion / Injection	39
3.1.2	Evasion	41
3.1.3	Denial of Service	41
3.1.4	Obfuscation	43
3.2	Angriffstechnik der Sicherungsschicht (OSI-Schicht 2)	43
3.3	Angriffstechniken der Netzwerkschicht (OSI-Schicht 3)	44
3.3.1	Ungültige IP-Header Felder	45
3.3.2	IP Optionen	45
3.3.3	Fragmentierung von IP-Paketen	46
3.4	Angriffstechniken der Transportschicht (OSI-Schicht 4)	48
3.4.1	Ungültige TCP-Header Felder	49
3.4.2	TCP Optionen	49
3.4.3	TCP Stream Reassembly	50
3.4.4	TCP Control Block (TCB)	50
3.5	Angriffstechniken der Anwendungsschicht (OSI-Schicht 5-7)	51
3.5.1	Coding Evasion	51
3.5.2	Directory-Traversal Evasion	51
3.5.3	Evasion durch polymorphen Shellcode	51
4.	Verschleierung von Angriffen in Exploiting Frameworks	53
4.1	Verschleierung von Angriffen im Metasploit Framework	53
4.1.1	Implementierte Insertion- und Evasion Techniken	54
4.1.2	Implementierte Obfuscation Techniken	54
4.1.2.1	Verschleierung des Angriffscodes	54
4.1.2.2	Verschleierung des Shellcode	56
4.1.3	Filterung von erkennbaren Angriffen auf Clientseite (IPS-Filter Plugin)	57
4.2	Verschleierung von Angriffen in Core Impact	58
4.3	Verschleierung von Angriffen in SAINT exploit	58
5.	Bewertung von NIDS unter dem Gesichtspunkt von Evasion Techniken	59
5.1	Bewertungsparameter für Network Intrusion Detection Systeme	59
5.2	Entwurf der Testumgebung	64
5.2.1	Anforderungsanalyse	64
5.2.2	Auswahl der zu evaluierenden Network Intrusion Detection Systeme	64
5.2.3	Auswahl der Testverfahren	66
5.2.3.1	Tests der Evasion Techniken der Netzwerk- und Transportschicht	67
5.2.3.2	Tests der Obfuscation Techniken der Anwendungsschicht	73
5.2.4	Konfiguration der Testumgebung	80
5.3	Realisierung der Testumgebung	82
5.3.1	Einrichtung der Virtuellen Maschinen in VirtualBox	82
5.3.1.1	Einrichtung des Metasploit Exploiting Frameworks	82
5.3.1.2	Einrichtung der Netzwerkkomponenten (Hub, Router)	83
5.3.1.3	Einrichtung des NIDS Snort	86
5.3.1.4	Einrichtung des NIDS / IPS Untangle	88
5.3.1.5	Einrichtung des NIDS Bro	90
5.3.1.6	Einrichtung des NIDS Securepoint	91
5.3.1.7	Einrichtung der Zielsysteme	91
5.3.2	Integration der Cisco Appliances	91
5.3.2.1	Einrichtung des Cisco 2620 Routers (IP Plus)	92
5.3.2.2	Einrichtung des Cisco 4215 Sensors	93
5.4	Durchführung der Tests	96
5.5	Auswertung der Testergebnisse	97
5.5.1	Auswertung der Protokolldateien	97
5.5.2	Darstellung der Testergebnisse	99
5.5.3	Zusammenfassende Bewertung der NIDS	102
5.5.4	Zusammenfassung	104
6.	Ansätze zur verbesserten Erkennung von verschleierten Angriffen	108
6.1	Maschinelles Lernen für Echtzeit-Intrusion-Detection	108
6.2	Verbesserung von NIDS durch Host-basierte Informationen	108
6.3	Verwendung von Grafikprozessoren zur Mustererkennung	109
6.4	Dynamische Taint-Analyse zur Erkennung von Angriffen	110
6.5	Normalisierung von Netzverkehr zur Beseitigung von Mehrdeutigkeiten	111
6.6	Active Mapping	112
7.	Zusammenfassung und Fazit	114
	Literaturverzeichnis	116
	Eidesstattliche Erklärung	121
	Anhang	123
	A Dokumente	123
	A1 Inhaltsübersicht der DVD	123
	A2 Bewertungsparameter der evaluierten NIDS	124
	B Konfigurationen	129
	B1 Snort Version 2.8.4.1 - Konfigurationsdatei snort.conf	129
	B2 Cisco 4215 IDS Sensor – Konfiguration	132
	C Quellcode	133
	C1 Metasploit Framework Obfuscation Test Script (msfauto.sh)	133
	C2 Metasploit IDS Filter Plugin (ids_filter.rb)	141
	C3 Metasploit Exploit ms08_067_netapi Modulinformationen	143
	C4 Metasploit Verschleierungs-Optionen des Moduls ms08_067_netapi	145
	Stichwortverzeichnis	147

Die im Inhaltsverzeichnis erwähnte DVD ist NICHT Bestandteil des ebooks!

Textprobe:

Kapitel 3, Konzepte zur Verschleierung von Angriffen:

Nachdem im vorherigen Kapitel die Grundlagen von Intrusion Detection Systemen und Exploiting Frameworks behandelt wurden, betrachtet dieses Kapitel mehrere Konzepte und Techniken, mit denen Angriffe so gestaltet werden können, dass sie nicht von NIDS erkannt werden können. Es werden zunächst die allgemeinen Konzepte erläutert und anschließend konkrete Techniken auf den verschiedenen Schichten des ISO OSI Modells betrachtet.

Seitdem Intrusion Detection Systeme existieren, werden Konzepte und Techniken entwickelt, die versuchen, diese Systeme zu umgehen. Das von Thomas H. Ptacek und Timothy N. Newsham im Jahre 1998 veröffentlichte Dokument mit dem Titel ”Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection” stellt grundlegende Konzepte dar, wie NIDS getäuscht und umgangen werden können und bildet die Grundlage für dieses Kapitel.

3.1 Allgemeine Verschleierungs-Techniken:

Zur Feststellung von Angriffen gegen IT-Systeme wird bei NIDS der Netzverkehr passiv mitgelesen und bei signaturbasierten IDS anhand von hinterlegten Signaturen auf bestimmte Eigenschaften hin untersucht. Um den mitgelesenen Netzverkehr jedoch korrekt klassifizieren zu können, muss ein IDS exakt wissen, wie dieser vom Ziel-IT-System interpretiert wird. Aufgrund der Komplexität heutiger Netze und des unterschiedlichen Verhaltens verschiedener Betriebssysteme, ist diese Aufgabe schwierig. Kennt ein NIDS nur den mitgelesenen Netzverkehr, entstehen aufgrund der fehlenden Detailkenntnisse Mehrdeutigkeiten, die die Grundlage für einige Angriffe gegen NIDS darstellen.

3.1.1 Insertion / Injection:

Der Insertion- und der im folgenden Kapitel beschriebene Evasion-Angriff nutzen Mehrdeutigkeiten zwischen dem NIDS und den zu überwachenden IT-Systemen aus. Mehrdeutigkeiten entstehen durch die Verwendung unterschiedlicher Betriebssysteme (z.B. Windows, Linux, Mac OS, Unix, usw.) in unterschiedlichen Versionen (Windows: NT, XP, Vista, usw.) und deren unterschiedlichen Verhaltensweisen bei der Verarbeitung von Paketen. Desweiteren entstehen Mehrdeutigkeiten durch eine unterschiedliche Konfiguration der Systeme sowie durch die Topologie des Netzes. Eine der Folgen dieser Mehrdeutigkeiten ist, dass ein NIDS ein Paket akzeptieren kann, welches von dem zu überwachenden IT-System verworfen wird. Das NIDS nimmt nun an, dass das Paket auch vom IT-System akzeptiert und verarbeitet wurde. Ein Angreifer kann diesen Umstand ausnutzen, indem er bestimmte Pakete an das anzugreifende IT-System versendet, die von diesem verworfen werden, von dem NIDS jedoch akzeptiert und verarbeitet werden. Dieses Vorgehen wird als Insertion-Angriff bezeichnet und ermöglicht es dem Angreifer, die Signatur-Analyse des NIDS zu umgehen und somit Pakete unbemerkt an das anzugreifende Ziel-IT-System zu senden. Der Angreifer fügt hierzu zusätzliche Pakete in die (permutierten) Angriffsdaten ein, die auf dem Ziel-IT-System verworfen werden. Die Abbildung 3.1 stellt ein einfaches Beispiel dar, welches den Angriff anhand der Mustererkennung (Pattern Matching) der Signatur-Analyse verdeutlicht. Das NIDS kann durch eine einfache Suche nach der Teilzeichenfolge (Substring) 'ATTACK' den Angriff nicht mehr erkennen. Als Resultat des Angriffs rekonstruieren das NIDS und das Ziel-IT-System zwei unterschiedliche Zeichenketten.

Ist ein NIDS in der Bearbeitung von Paketen weniger strikt als die zu überwachenden IT-Systeme, ist es anfällig für Insertion Angriffe. Ist ein NIDS strikter als die zu überwachenden IT-Systeme, so ist es anfällig für Evasion-Angriffe, die im folgenden Kapitel beschrieben werden.

3.1.2 Evasion:

Beim Evasion-Angriff werden, ähnlich wie bei dem Insertion-Angriff, Mehrdeutigkeiten zwischen dem NIDS und dem Ziel-IT-System ausgenutzt, damit bestimmte Pakete durch das NIDS nicht überprüft werden. Die Grundlage des Evasion-Angriffs bildet die Tatsache, dass ein NIDS ein Paket verwerfen kann, das von einem zu überwachenden Ziel-IT-System akzeptiert und verarbeitet wird. Wenn ein NIDS ein Paket verwirft, kann es dessen Inhalt nicht kontrollieren. Dies kann ausgenutzt werden, um bestimmte Pakete einer Überprüfung durch das NIDS zu entziehen und wird als Evasion-Angriff bezeichnet. Ein Evasion-Angriff vereitelt die Mustererkennung der Signatur-Analyse eines NIDS in ähnlicher Weise wie ein Insertion-Angriff. Der Angreifer erzeugt durch das Einfügen von zusätzlichen Paketen erneut einen unterschiedlichen Datenstrom auf dem NIDS und dem IT-System, wodurch dem NIDS Daten zur Erkennung von Angriffen vorenthalten werden.

Die Abbildung 3.2 stellt ein einfaches Beispiel für einen Evasion-Angriff dar, bei dem zur Umgehung der Mustererkennung dem NIDS ein Teil der übertragenen Daten vorenthalten werden.

3.1.3 Denial of Service:

Eine weitere Angriffsmöglichkeit eines NIDS ist die Einschränkung dessen Verfügbarkeit, um eine Erkennung von Angriffen zu verhindern. Mit gezielten Denial-of-Service Angriffen auf bestimmte Ressourcen kann ein NIDS in seiner Funktion eingeschränkt oder unbenutzbar gemacht werden. Aufgrund ihrer passiven Arbeitsweise sind NIDS im Gegensatz zu Firewalls meistens ”fail open”, d.h. im Fehlerfall wird der Zugriff auf das Netzwerk nicht unterbrochen, wodurch der Ausfall des NIDS für einen Angreifer ein primäres Ziel darstellt.

Ressourcen, die Ziele für einen DoS Angriff darstellen können, sind:

Central Processing Unit (CPU):

Das Ziel eines DoS Angriffs auf die CPU eines NIDS ist dessen Überlastung, so dass es aufgezeichnete Pakete nicht mehr in ausreichender Geschwindigkeit abarbeiten kann und Pakete verwerfen muss. Hierdurch werden nicht mehr alle Daten erfasst und ausgewertet, wodurch Angriffe unerkannt bleiben können. Um eine CPU zu überlasten, identifiziert ein Angreifer zunächst rechenintensive Aufgaben des NIDS, um diese anschließend auszuführen. Ein Beispiel hierfür ist die IP Fragmentierung, da jedes empfangene Fragment geordnet und gespeichert werden muss bis alle Fragmente empfangen wurden (Reassembly). Da viele Systeme ineffiziente Algorithmen in Form von einfachen geordneten Listen zur Speicherung der Fragmente verwenden (linearer Aufwand), kann dies die CPU stark auslasten.

Arbeitsspeicher:

Das Ziel eines DoS-Angriffs auf den Arbeitsspeicher ist, eine Anwendung auf dem NIDS dazu zu bringen, den gesamten verfügbaren Speicher zu allokieren und das NIDS dadurch zu verlangsamen, was zu Paketverlust oder Funktionsunfähigkeit führt, da kein freier Speicher mehr zur Verfügung steht (Out-of-Memory), um empfangene Pakete zu verarbeiten. Da NIDS zustandsbehaftet arbeiten, kann durch das Versenden von vielen TCP Verbindungsanfragen (SYN-Flag) der gesamte freie Speicher belegt werden, da jede einzelne Verbindung durch das NIDS überwacht werden muss.

Massenspeicher (Hard Disc Drive, HDD):

Durch einen DoS-Angriff auf den Massenspeicher kann ein NIDS funktionsunfähig gemacht werden, wenn kein freier Speicherplatz mehr auf der Partition des Massenspeichers vorhanden ist. Da NIDS während der Analyse von Netzverkehr mehrere Protokolleinträge erzeugen, können Ereignisse wie z.B. Angriffe, die große Protokolleinträge erzeugen, so lange ausgeführt werden, bis kein freier Speicherplatz mehr vorhanden ist und das NIDS funktionsunfähig ist.

Netzwerk:

Bei einem DoS-Angriff auf das Netzwerk wird durch einen Angreifer Netzverkehr erzeugt (Flooding-Angriff), der entweder das Netz oder die Netzwerkschnittstelle des NIDS in der Form überlastet, dass Pakete verworfen werden müssen. Der Flooding-Angriff kann zielgerichtet erfolgen, so dass eine Kommunikation mit dem anzugreifenden Ziel-IT-System weiterhin möglich ist.

3.1.4 Obfuscation:

Neben den dargestellten Konzepten der vorherigen Kapitel existieren weitere Möglichkeiten, um eine Erkennung von Angriffen durch Signaturen in NIDS zu verhindern. Hierfür werden die Daten auf der Ebene der Anwendungsschicht (OSI Schicht 5-7) ohne Änderung der Semantik so umgeformt, dass die Angriffe anhand der Signaturen in der Mustererkennung nicht mehr erkannt werden können. Damit NIDS derartige Angriffe erkennen können, müssen diese über eine entsprechende Logik auf der Anwendungsebene (für das jeweilige Protokoll) verfügen.

Mit Hilfe der Verschleierung (Obfuscation) von Daten auf Anwendungsebene können Angriffe durch Exploits verschleiert ausgeführt werden. In verschiedenen Exploiting Frameworks, wie z.B. das Metasploit Framework (MSF), sind mehrere Obfuscation-Techniken integriert, die in Kapitel 4 auf Seite 53 detaillierter betrachtet werden.

3.2 Angriffstechnik der Sicherungsschicht (OSI-Schicht 2):

Nachdem die allgemeinen Konzepte für Angriffe auf NIDS vorgestellt wurden, werden nun die zugehörigen Techniken anhand von konkreten Schwachstellen in Protokollen vorgestellt, die eine Umsetzung der vorgestellten Konzepte erst ermöglichen. Befindet sich ein Angreifer im selben Netzsegment wie das IDS, kann dieser einen Insertion-Angriff durchführen, indem er die Adressierung der Sicherungsschicht in Form der Media Access Control Adressen (MAC-Adressen) ausnutzt.

Ein Angreifer kann einen zusätzlichen (Ethernet-)Frame versenden, der an die MAC-Adresse des IDS adressiert ist, als Ziel-IP-Adresse jedoch die des anzugreifenden IT-Systems enthält. Ein Angreifer kann somit, wenn ihm die MAC-Adresse des NIDS bekannt ist, gefälschte Pakete an das NIDS versenden, ohne das ein anderes IT-System im Netzwerk das Frame erhält. Ist dem Angreifer die MAC-Adresse des NIDS nicht bekannt, kann das Frame auch an eine beliebige MAC-Adresse versendet werden, die im Netzsegment nicht verwendet wird. Das NIDS kann somit durch Frames mit einer falschen MAC-Adresse getäuscht werden.