Post on 26-Sep-2020
transcript
Netzbasierte Erkennung von mittels PortKnocking versteckten Diensten und Back-doorsFelix von Eye, Michael Grabatin, Wolfgang Hommel
Wichtige Abgrenzung
Was wir nicht betrachten:
Schwachstellen
Eingebaute Hintertüren in regulären Diensten, z. B.
Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter
Dies erfordert fundamental andere Erkennungsalgorithmen.
⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2
Wichtige Abgrenzung
Was wir nicht betrachten:
Schwachstellen
Eingebaute Hintertüren in regulären Diensten, z. B.
Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter
Dies erfordert fundamental andere Erkennungsalgorithmen.
⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2
Wichtige Abgrenzung
Was wir nicht betrachten:
Schwachstellen
Eingebaute Hintertüren in regulären Diensten, z. B.
Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter
Dies erfordert fundamental andere Erkennungsalgorithmen.
⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2
Wichtige Abgrenzung
Was wir nicht betrachten:
Schwachstellen
Eingebaute Hintertüren in regulären Diensten, z. B.
Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter
Dies erfordert fundamental andere Erkennungsalgorithmen.
⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2
Wichtige Abgrenzung
Was wir nicht betrachten:
Schwachstellen
Eingebaute Hintertüren in regulären Diensten, z. B.
Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter
Dies erfordert fundamental andere Erkennungsalgorithmen.
⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2
Was ist Port Knocking?
Client 2
TCP: 5002 TCP:80 UDP:53 ICMP TCP:443 TCP:5002Server
SYNRST
SYNRST
SYNACKPSHFIN
Typ 8Code 16
Zeitlicher Ablauf der Port-Knocking-Sequenz
Client 1
SYNRST
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 3
Gegenmaßnahmen?
Firewalls
Lokales Scannen nach aktiven Diensten
Analyse des Netzverkehrs
Aber: Geht das auchin heterogenen, nicht zentral administriertenHochschulnetzen?
bei gut gemachter Malware, die Rootkit-Funktionalitätenbesitzt?
ohne Tool-Unterstützung?
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 4
Gegenmaßnahmen?
Firewalls
Lokales Scannen nach aktiven Diensten
Analyse des Netzverkehrs
Aber: Geht das auchin heterogenen, nicht zentral administriertenHochschulnetzen?
bei gut gemachter Malware, die Rootkit-Funktionalitätenbesitzt?
ohne Tool-Unterstützung?
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 4
Grundsätzliche Ideen
„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands
„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen
„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5
Grundsätzliche Ideen
„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands
„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen
„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5
Grundsätzliche Ideen
„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands
„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen
„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5
Datenquellen
Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung
Flow Records zur Speicherung der Kommunikationsmuster
ausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung
Netz- Interface
Flow-Record-Aggregator
Portscanner
Filterung & Sequenzerkennung
mit Perl
Cflow.pm
Flow-Record-Dateien
Portscan-Datei
Konsolenausgabe
Konfigurations-parameter &
Ausnahmeliste
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6
Datenquellen
Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung
Flow Records zur Speicherung der Kommunikationsmusterausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung
Netz- Interface
Flow-Record-Aggregator
Portscanner
Filterung & Sequenzerkennung
mit Perl
Cflow.pm
Flow-Record-Dateien
Portscan-Datei
Konsolenausgabe
Konfigurations-parameter &
Ausnahmeliste
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6
Datenquellen
Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung
Flow Records zur Speicherung der Kommunikationsmusterausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung
Netz- Interface
Flow-Record-Aggregator
Portscanner
Filterung & Sequenzerkennung
mit Perl
Cflow.pm
Flow-Record-Dateien
Portscan-Datei
Konsolenausgabe
Konfigurations-parameter &
Ausnahmeliste
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6
Wie wird ein versteckter Dienst erkannt?
Verbindungsrichtung
Systemklassifikation
Protokoll
Ausgehend
Eingehend
Reaktion
Vollständiger Handshake
UDP
TCP
Kein Dienst oder Firewall
Portscan erkennt Dienst
Nein
Ja
Versteckter Dienst
Nein
Regulärer DienstJa
Erlaubte Verbindung
Kann nicht näher kontrolliert werden
Server
ClientPotentielle Backdoor
Automatisches Update oder ähnliches
Ja
Nein
Gleiche Pakete auch an andere Hosts
Potentiell verdächtigAntwort
Keine
Vermutlich Portscan oder ähnliches
Potentiell verdächtig
Ja
Nein
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 7
Erkennung der Port-Knocking-Sequenz
Wird bei erkannten versteckten Diensten durchgeführt
Nützlich zum Finden von ähnlicher Malware
Erleichtert die forensische Analyse
Wertet die letzten 10ms der Kommunikation aus
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 8
Prototypische Tests
Internet Aufzeichnen von Flow-Records
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9
Prototypische Tests
Internet Aufzeichnen von Flow-Records
6 Systeme, 3 Linux-Server, 3 Windows-Server/-ClientsSammlung der Flow-Records auf der Auswerteeinheit;Überwachung jeglicher KommunikationInstallation verschiedener Dienste und BackdoorsNutzung dieser Dienste im Friendly-User-Betrieb
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9
Prototypische Tests
Internet Aufzeichnen von Flow-Records
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9
Prototypische Tests
Internet Aufzeichnen von Flow-Records
Sammlung von > 1 000 000 Flow RecordsPortscan mit nmap; Auswertung durch Perl-PrototypErkennung aller genutzten Port-Knocking-SequenzenNur 16 False Positives
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9
Erkannte Schwächen
Export der Flow-Records nur zeitverzögert (bis 15 MinutenDelay)
Prototyp ist bisher noch ein wenig langsam
Zusammenhängende Port-Knocking-Sequenzen nur innerhalbeines Zeitfensters von 10ms
Noch nicht alle Dienste werden zuverlässig als legitim erkannt(z. B. FTP)
Erkennung von Portscans zum Ausfiltern muss noch verbessertwerden
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 10
Zusammenfassung
Flow-Record-basiertes Verfahren
Einpflegen von relevanten Background-Wissen (legitimeDienste und Netzbereiche)
Erkennung von irregulären Dienstkommunikationsmustern
Erkennung von einfachem Port-Knocking-Sequenzen
Prototypische Implementierung
Relativ geringe Anzahl von False Positives
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 11
Ausblick
Schutz von kritischen Systemen in speziellen Netzen
Integration des Ansatzes in Honeypots
Portierung für Software Defined Networks
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 12
Fragen?
Kontakt:Felix von Eye
voneye@lrz.de
08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 13