Ein erhöhter Schutzbedarf von IT-Systemen kann durch Sicherheitsmaßnahmen wie Firewalls, Intrusion Detection Systeme bzw. Intrusion Prevention Systeme (IDS/IPS) gewährleistet werden, die bestimmten Datenverkehr blockieren oder Angriffe erkennen und verhindern sollen. Ein Beispiel für einen Angriff ist das Ausnutzen einer Sicherheitslücke durch einen Exploit mit dem Ziel eigenen Code auszuführen und die Kontrolle über das IT-System zu erlangen. Exploiting Frameworks stellen für solche Angriffe eine Art Baukasten dar, mit dem ein Angreifer den Exploit anpassen und automatisiert gegen ein Zielsystem ausführen kann. Viele Angriffe werden jedoch durch Schutzmaßnahmen wie IDS erkannt bzw. im Falle von Intrusion Prevention Systemen (IPS) abgewehrt. Um eine Erkennung derartiger Angriffe zu verhindern, existieren mehrere kombinierbare Techniken, die jeweils auf verschiedenen Schichten des ISO OSI Modells angewendet werden, um die Mechanismen von IDS/IPS zur Erkennung von Angriffen zu umgehen. In einigen Exploiting Frameworks, wie z.B. dem Metasploit Framework (MSF), SAINT Exploit oder Core Impact, sind bereits einige der Techniken zur Verschleierung von Angriffen implementiert. Dies stellt ein Risiko für Unternehmen dar, da erfolgreiche Angriffe auf IT-Systeme in diesem Fall nicht mehr durch IDS erkannt werden können. In diesem Buch werden Techniken und Konzepte analysiert und bewertet, mit denen Angriffe so gestaltet werden, dass sie nicht von IDS/IPS erkannt werden können (Insertion, Evasion und Obfuscation). Durch die Integration dieser Techniken in Exploiting Frameworks wird zudem der Beitrag von Exploiting Frameworks unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen untersucht. Mehrere ausgewählte NIDS werden unter dem Gesichtspunkt der Techniken zur Verschleierung von Angriffen bewertet. Hierzu werden die Grundlagen von Exploiting Frameworks, IDS/IPS und von Techniken zur Verschleierung von Angriffen dargestellt und eine Testumgebung sowie Testszenarien erstellt, in denen am Beispiel des Metasploit Exploiting Frameworks und mehreren Network Intrusion Detection Systemen (NIDS) die Untersuchungen durchgeführt werden. Als NIDS wird u.a. Snort eingesetzt.

Textprobe: Kapitel 3, Konzepte zur Verschleierung von Angriffen: Nachdem im vorherigen Kapitel die Grundlagen von Intrusion Detection Systemen und Exploiting Frameworks behandelt wurden, betrachtet dieses Kapitel mehrere Konzepte und Techniken, mit denen Angriffe so gestaltet werden können, dass sie nicht von NIDS erkannt werden können. Es werden zunächst die allgemeinen Konzepte erläutert und anschließend konkrete Techniken auf den verschiedenen Schichten des ISO OSI Modells betrachtet. Seitdem Intrusion Detection Systeme existieren, werden Konzepte und Techniken entwickelt, die versuchen, diese Systeme zu umgehen. Das von Thomas H. Ptacek und Timothy N. Newsham im Jahre 1998 veröffentlichte Dokument mit dem Titel ”Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection” stellt grundlegende Konzepte dar, wie NIDS getäuscht und umgangen werden können und bildet die Grundlage für dieses Kapitel. 3.1 Allgemeine Verschleierungs-Techniken: Zur Feststellung von Angriffen gegen IT-Systeme wird bei NIDS der Netzverkehr passiv mitgelesen und bei signaturbasierten IDS anhand von hinterlegten Signaturen auf bestimmte Eigenschaften hin untersucht. Um den mitgelesenen Netzverkehr jedoch korrekt klassifizieren zu können, muss ein IDS exakt wissen, wie dieser vom Ziel-IT-System interpretiert wird. Aufgrund der Komplexität heutiger Netze und des unterschiedlichen Verhaltens verschiedener Betriebssysteme, ist diese Aufgabe schwierig. Kennt ein NIDS nur den mitgelesenen Netzverkehr, entstehen aufgrund der fehlenden Detailkenntnisse Mehrdeutigkeiten, die die Grundlage für einige Angriffe gegen NIDS darstellen. 3.1.1 Insertion / Injection: Der Insertion- und der im folgenden Kapitel beschriebene Evasion-Angriff nutzen Mehrdeutigkeiten zwischen dem NIDS und den zu überwachenden IT-Systemen aus. Mehrdeutigkeiten entstehen durch die Verwendung unterschiedlicher Betriebssysteme (z.B. Windows, Linux, Mac OS, Unix, usw.) in unterschiedlichen Versionen (Windows: NT, XP, Vista, usw.) und deren unterschiedlichen Verhaltensweisen bei der Verarbeitung von Paketen. Desweiteren entstehen Mehrdeutigkeiten durch eine unterschiedliche Konfiguration der Systeme sowie durch die Topologie des Netzes. Eine der Folgen dieser Mehrdeutigkeiten ist, dass ein NIDS ein Paket akzeptieren kann, welches von dem zu überwachenden IT-System verworfen wird. Das NIDS nimmt nun an, dass das Paket auch vom IT-System akzeptiert und verarbeitet wurde. Ein Angreifer kann diesen Umstand ausnutzen, indem er bestimmte Pakete an das anzugreifende IT-System versendet, die von diesem verworfen werden, von dem NIDS jedoch akzeptiert und verarbeitet werden. Dieses Vorgehen wird als Insertion-Angriff bezeichnet und ermöglicht es dem Angreifer, die Signatur-Analyse des NIDS zu umgehen und somit Pakete unbemerkt an das anzugreifende Ziel-IT-System zu senden. Der Angreifer fügt hierzu zusätzliche Pakete in die (permutierten) Angriffsdaten ein, die auf dem Ziel-IT-System verworfen werden. Die Abbildung 3.1 stellt ein einfaches Beispiel dar, welches den Angriff anhand der Mustererkennung (Pattern Matching) der Signatur-Analyse verdeutlicht. Das NIDS kann durch eine einfache Suche nach der Teilzeichenfolge (Substring) 'ATTACK' den Angriff nicht mehr erkennen. Als Resultat des Angriffs rekonstruieren das NIDS und das Ziel-IT-System zwei unterschiedliche Zeichenketten. Ist ein NIDS in der Bearbeitung von Paketen weniger strikt als die zu überwachenden IT-Systeme, ist es anfällig für Insertion Angriffe. Ist ein NIDS strikter als die zu überwachenden IT-Systeme, so ist es anfällig für Evasion-Angriffe, die im folgenden Kapitel beschrieben werden. 3.1.2 Evasion: Beim Evasion-Angriff werden, ähnlich wie bei dem Insertion-Angriff, Mehrdeutigkeiten zwischen dem NIDS und dem Ziel-IT-System ausgenutzt, damit bestimmte Pakete durch das NIDS nicht überprüft werden. Die Grundlage des Evasion-Angriffs bildet die Tatsache, dass ein NIDS ein Paket verwerfen kann, das von einem zu überwachenden Ziel-IT-System akzeptiert und verarbeitet wird. Wenn ein NIDS ein Paket verwirft, kann es dessen Inhalt nicht kontrollieren. Dies kann ausgenutzt werden, um bestimmte Pakete einer Überprüfung durch das NIDS zu entziehen und wird als Evasion-Angriff bezeichnet. Ein Evasion-Angriff vereitelt die Mustererkennung der Signatur-Analyse eines NIDS in ähnlicher Weise wie ein Insertion-Angriff. Der Angreifer erzeugt durch das Einfügen von zusätzlichen Paketen erneut einen unterschiedlichen Datenstrom auf dem NIDS und dem IT-System, wodurch dem NIDS Daten zur Erkennung von Angriffen vorenthalten werden. Die Abbildung 3.2 stellt ein einfaches Beispiel für einen Evasion-Angriff dar, bei dem zur Umgehung der Mustererkennung dem NIDS ein Teil der übertragenen Daten vorenthalten werden. 3.1.3 Denial of Service: Eine weitere Angriffsmöglichkeit eines NIDS ist die Einschränkung dessen Verfügbarkeit, um eine Erkennung von Angriffen zu verhindern. Mit gezielten Denial-of-Service Angriffen auf bestimmte Ressourcen kann ein NIDS in seiner Funktion eingeschränkt oder unbenutzbar gemacht werden. Aufgrund ihrer passiven Arbeitsweise sind NIDS im Gegensatz zu Firewalls meistens ”fail open”, d.h. im Fehlerfall wird der Zugriff auf das Netzwerk nicht unterbrochen, wodurch der Ausfall des NIDS für einen Angreifer ein primäres Ziel darstellt. Ressourcen, die Ziele für einen DoS Angriff darstellen können, sind: Central Processing Unit (CPU): Das Ziel eines DoS Angriffs auf die CPU eines NIDS ist dessen Überlastung, so dass es aufgezeichnete Pakete nicht mehr in ausreichender Geschwindigkeit abarbeiten kann und Pakete verwerfen muss. Hierdurch werden nicht mehr alle Daten erfasst und ausgewertet, wodurch Angriffe unerkannt bleiben können. Um eine CPU zu überlasten, identifiziert ein Angreifer zunächst rechenintensive Aufgaben des NIDS, um diese anschließend auszuführen. Ein Beispiel hierfür ist die IP Fragmentierung, da jedes empfangene Fragment geordnet und gespeichert werden muss bis alle Fragmente empfangen wurden (Reassembly). Da viele Systeme ineffiziente Algorithmen in Form von einfachen geordneten Listen zur Speicherung der Fragmente verwenden (linearer Aufwand), kann dies die CPU stark auslasten. Arbeitsspeicher: Das Ziel eines DoS-Angriffs auf den Arbeitsspeicher ist, eine Anwendung auf dem NIDS dazu zu bringen, den gesamten verfügbaren Speicher zu allokieren und das NIDS dadurch zu verlangsamen, was zu Paketverlust oder Funktionsunfähigkeit führt, da kein freier Speicher mehr zur Verfügung steht (Out-of-Memory), um empfangene Pakete zu verarbeiten. Da NIDS zustandsbehaftet arbeiten, kann durch das Versenden von vielen TCP Verbindungsanfragen (SYN-Flag) der gesamte freie Speicher belegt werden, da jede einzelne Verbindung durch das NIDS überwacht werden muss. Massenspeicher (Hard Disc Drive, HDD): Durch einen DoS-Angriff auf den Massenspeicher kann ein NIDS funktionsunfähig gemacht werden, wenn kein freier Speicherplatz mehr auf der Partition des Massenspeichers vorhanden ist. Da NIDS während der Analyse von Netzverkehr mehrere Protokolleinträge erzeugen, können Ereignisse wie z.B. Angriffe, die große Protokolleinträge erzeugen, so lange ausgeführt werden, bis kein freier Speicherplatz mehr vorhanden ist und das NIDS funktionsunfähig ist. Netzwerk: Bei einem DoS-Angriff auf das Netzwerk wird durch einen Angreifer Netzverkehr erzeugt (Flooding-Angriff), der entweder das Netz oder die Netzwerkschnittstelle des NIDS in der Form überlastet, dass Pakete verworfen werden müssen. Der Flooding-Angriff kann zielgerichtet erfolgen, so dass eine Kommunikation mit dem anzugreifenden Ziel-IT-System weiterhin möglich ist. 3.1.4 Obfuscation: Neben den dargestellten Konzepten der vorherigen Kapitel existieren weitere Möglichkeiten, um eine Erkennung von Angriffen durch Signaturen in NIDS zu verhindern. Hierfür werden die Daten auf der Ebene der Anwendungsschicht (OSI Schicht 5-7) ohne Änderung der Semantik so umgeformt, dass die Angriffe anhand der Signaturen in der Mustererkennung nicht mehr erkannt werden können. Damit NIDS derartige Angriffe erkennen können, müssen diese über eine entsprechende Logik auf der Anwendungsebene (für das jeweilige Protokoll) verfügen. Mit Hilfe der Verschleierung (Obfuscation) von Daten auf Anwendungsebene können Angriffe durch Exploits verschleiert ausgeführt werden. In verschiedenen Exploiting Frameworks, wie z.B. das Metasploit Framework (MSF), sind mehrere Obfuscation-Techniken integriert, die in Kapitel 4 auf Seite 53 detaillierter betrachtet werden. 3.2 Angriffstechnik der Sicherungsschicht (OSI-Schicht 2): Nachdem die allgemeinen Konzepte für Angriffe auf NIDS vorgestellt wurden, werden nun die zugehörigen Techniken anhand von konkreten Schwachstellen in Protokollen vorgestellt, die eine Umsetzung der vorgestellten Konzepte erst ermöglichen. Befindet sich ein Angreifer im selben Netzsegment wie das IDS, kann dieser einen Insertion-Angriff durchführen, indem er die Adressierung der Sicherungsschicht in Form der Media Access Control Adressen (MAC-Adressen) ausnutzt. Ein Angreifer kann einen zusätzlichen (Ethernet-)Frame versenden, der an die MAC-Adresse des IDS adressiert ist, als Ziel-IP-Adresse jedoch die des anzugreifenden IT-Systems enthält. Ein Angreifer kann somit, wenn ihm die MAC-Adresse des NIDS bekannt ist, gefälschte Pakete an das NIDS versenden, ohne das ein anderes IT-System im Netzwerk das Frame erhält. Ist dem Angreifer die MAC-Adresse des NIDS nicht bekannt, kann das Frame auch an eine beliebige MAC-Adresse versendet werden, die im Netzsegment nicht verwendet wird. Das NIDS kann somit durch Frames mit einer falschen MAC-Adresse getäuscht werden.

• Exploit

• Angriff

• Evasion

• Insertion

• Obfuscation

• Sicherheitslücke

• IT-System

Thomas Stein, B.Sc., wurde 1982 in Köln geboren. Nach seiner Berufsausbildung als Fachinformatiker (Fachrichtung: Systemintegration) in einem großen Unternehmen der Telekommunikationsbranche, entschied sich der Autor seine fachlichen Qualifikationen im Bereich der Informatik durch ein Studium zu erweitern. Das Studium der Informatik an der Hochschule Bonn-Rhein-Sieg, mit der Spezialisierung Telekommunikation, schloss er im Jahre 2009 erfolgreich mit dem akademischen Grad Bachelor of Science ab. Bereits während des Studiums sammelte der Autor als studentische Hilfskraft im Labor für Informationssicherheit umfassende praktische Erfahrungen und entwickelte ein besonderes Interesse an Intrusion Detection Systemen (IDS) und Exploiting Frameworks. Seit September 2009 ist der Autor im Bundesinstituts für Berufsbildung (BIBB), im Referat für Informationstechnik, angestellt.