Backdoors x Firewalls de Aplicação Praticando em Kernel do Linux



Documentos relacionados
FTP Protocolo de Transferência de Arquivos

Dificuldades Reais na Migraçã. ção o para Software Livre

Protocolos Telnet e SSH. Professor Leonardo Larback

Entendendo como funciona o NAT

Conexão rápida entre dois computadores em uma plataforma Linux

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

UNIVERSIDADE FEDERAL DE PELOTAS

Instalação Remota Distribuição Linux

Segurança de Redes. Firewall. Filipe Raulino

Passo a Passo da instalação da VPN

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

FTP - Protocolo. O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores.

Procedimentos para configurar o Monitoramento Agendado no D-viewCam

Microsoft Access XP Módulo Um

Firewall. Qual a utilidade em instalar um firewall pessoal?

Aplicação Prática de Lua para Web

Alan Menk Santos Redes de Computadores e Telecomunicações. Camada de Aplicação. Camada de Aplicação

Aspectos de Segurança em Programação com Java

SSH Secure Shell Secure Shell SSH

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

INTRODUÇÃO: 1 - Conectando na sua conta

Omega Tecnologia Manual Omega Hosting

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Overflow na tabela CAM

Suporte Nível 1. Atualmente o Servidor de aplicação adotado é o GlassFish 2.x e o Postgres 8.x.

DarkStat para BrazilFW

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

DELEGAÇÃO REGIONAL DO ALENTEJO CENTRO DE FORMAÇÃO PROFISSIONAL DE ÉVORA REFLEXÃO 3

É altamente recomendável testar as conexões usando o programa PING (será visto posteriormente).

HOW TO. Instalação do Firewall 6.1 Software

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

3 Revisão de Software

IPTABLES. Helder Nunes

Tema: Transbordamento da Tabela CAM ou em inglês CAM table overflow por meio da técnica de Arp Poisoning, Arp spoofing, MAC flooding.

ANGELLIRA RASTREAMENTO SATELITAL LTDA. Sistema LIRALOG. Manual de instalação e atualização TI 30/07/2014

Instalação do VOL Backup para Sistemas Unix-Like

Curso de Instalação e Gestão de Redes Informáticas

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

GUIA INTEGRA SERVICES E STATUS MONITOR

Configurando o IIS no Server 2003

ENDEREÇOS DE REDE PRIVADOS até até até Kernel

1.1 Porque um nível de aplicação proxy?

HOW TO. Solução. UDP portas 53, 69, passo. é criado duas HTTP, conectar e o tipo de. Liberando restante; Liberando todo o res Bloqueand.

Procedimentos para Reinstalação do Sisloc

Componentes de um sistema de firewall - II. Segurança de redes

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

ArpPrintServer. Sistema de Gerenciamento de Impressão By Netsource Rev: 02

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

Desenvolvendo Websites com PHP

Sistemas Operacionais II. Prof. Gleison Batista de Sousa

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

Nessus Vulnerability Scanner

Sistemas de Detecção de Intrusão

USO GERAL DOS PROTOCOLOS SMTP, FTP, TCP, UDP E IP

Manual de Instalação, Administração e Uso do Sistema Elétric

Configurando um Servidor de Arquivos SAMBA. Prof. Armando Martins de Souza

Programação Web Prof. Wladimir

TRANSMISSÃO DE DADOS Prof. Ricardo Rodrigues Barcelar

Tutorial. Transmitindo arquivos via FTP. FTP Protocolo da internet responsável pelo envio e recebimento de arquivos com maior eficiência e rapidez.

Como é o Funcionamento do LTSP

Configuração de um servidor FTP. Campus Cachoeiro Curso Técnico em Informática

OpenSSH

Segurança em Sistemas de Informação. Agenda. Conceitos Iniciais

Prof. Samuel Henrique Bucke Brito

Instalação do serviço de FTP com o Proftpd

Placa Acessório Modem Impacta

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

FileMaker Pro 14. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 14

Guia de instalação para ambiente de Desenvolvimento LINUX

SISTEMAS OPERACIONAIS ABERTOS Prof. Ricardo Rodrigues Barcelar

Informática - Prof. Frank Mattos

Manipulação de Dados em PHP (Visualizar, Inserir, Atualizar e Excluir) Parte 2

Sistemas Distribuídos

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

Relatorio do trabalho pratico 2

Componentes de um sistema de firewall - I

Configurando o DDNS Management System

Permite o acesso remoto a um computador;

TUTORIAL PRÁTICO SOBRE Git. Versão 1.1

Nível de segurança de uma VPN

Manual de Instalação do Agente Citsmart

Guia de usuário do portal de acesso SSH

1º Passo Requisitos Mínimos

Satélite. Manual de instalação e configuração. CENPECT Informática cenpect@cenpect.com.br

IFPE. Disciplina: Sistemas Operacionais. Prof. Anderson Luiz Moreira

Redes de Computadores

Instalando o Internet Information Services no Windows XP

2 SYSCALLs: O que são

Documentação Symom. Agente de Monitoração na Plataforma Windows

Transcrição:

Backdoors x Firewalls de Aplicação Praticando em Kernel do Linux Rodrigo Rubira Branco rodrigo@kernelhacking.com bsdaemon@bsdaemon.org

Agenda: O que são Backdoors e Quais seus Recursos O que são Firewalls e Firewalls de Camada de Aplicação Entendendo o NetBUS Recursos do NetBUS Instalando o NetBUS em Linux Instalando o Wine para rodar o NetBUS Utilizando o comando eject para permitir ejeção do CD Agradecimentos

Agenda: O que são Backdoors e Quais seus Recursos O que são Firewalls e Firewalls de Camada de Aplicação Firewalls Linux Firewalls de Camada de Aplicação (Surpresa) Backdoors que Utilizam Comandos de Aplicação Recursos para se Evitar Inserção de Backdoors Recursos para a Backdoor não ser Detectada (Brincadeira) Outros Recursos de Backdoors e o Futuro Agradecimentos

O que são Backdoors e quais os seus recursos LKM x KMEM Injection Módulos de kernel precisam ser compilados para o sistema alvo específico Através do /dev/kmem ou /dev/mem podemos injetar o código na memória do kernel modificando o mesmo sem o uso de módulos Podemos via o uso de injeção de código, descobrir os endereços das funçoes necessárias, fazendo assim uma backdoor indepente de sistema e que possa ser utilizada pré compilada Diversos são os recursos oferecidos por uma backdoor (Redireção de processos, esconder processos, esconder modo promíscuo, shell remota, etc), não importando para nós tais recursos e sim a não detecção da backdoor. http://www.riseresearch.com

O que são Firewalls e Firewalls de Camada de Aplicação

O que são Firewalls e Firewalls de Camada de Aplicação Linux x App. Firewalls (atualmente o netfilter age apenas até a camada de transporte), não entendendo os protocolos das camadas superiores (projeto http://l7 filter.sourceforge.net/ busca adicionar esta funcionalidade ao mesmo) Dizemos que ele atua até a camada de transporte principalmente pelo recurso de STATEFUL que este apresenta para protocolos complexos, como o FTP. Ele não conhece realmente o funcionamento da camada de aplicacão do FTP (não vê por exemplo a porta negociada para transmissão de dados), mas pode através do controle de seção e uso do RELATED,ESTABLISHED permitir apenas a conexão na porta de dados que pertença a uma conexão de controle pré existente. Fornecedores: MICROSOFT, Checkpoint, Cisco, etc

Firewalls Linux (*) x Backdoors Máquina alvo com Firewall ativado permitindo apenas conexões SSH (porta 22) e HTTP (porta 80) Suckit é executado na máquina alvo e o acesso será feito a mesma (com um tcpdump aberto para se demonstrar que o destino é realmente a porta 80)

Firewalls de Camada de Aplicação (Microsoft ISA Server) O senhor Aylton da Microsoft ofereceu apoio não oficial a esta apresentação por isso fica aqui o agradecimento e a viabilidade da demonstração prática da idéia. O appliance oferecido foi empresado pela SCUA Security e também agradeço a mesma. ISA Server http://www.riseresearch.com

Backdoors que utilizam comandos de aplicação (*) O que aconteceria no exemplo anterior, se a backdoor recebesse e respondesse aos pedidos, através de comandos do protocolo da camada de aplicação? No exemplo a seguir, nossa backdoor apenas recebe comandos e entende a camada de aplicação (parser do método GET) através da interceptação da syscall read(). Os retornos podem ser gerados no /var/www mesmo que nobody não possa escrever neste diretório, bastando acessar o servidor de páginas normalmente e verificá los. Nenhum Firewall conseguiria dissernir tal tipo de tráfego de aplicações normais do servidor (esta backdoor poderia ser utilizada via outros protocolos e não apenas HTTP).

Backdoors que utilizam comandos de aplicacao (*) Em um artigo ainda não publicado pelo Sr. Aylton (da Microsoft), o qual tive acesso, o mesmo menciona técnicas para elaboração do perfil da aplicação, que poderiam ser utilizadas para evitar se SQL Injection e outras técnicas de mal uso de aplicações web (consequentemente também o acesso a backdoors utilizando se do protocolo HTTP), embora sua eficiência seja duvidosa, pois as requisições e respostas da backdoor podem ser legítimas mesmo (acesso a páginas do site de forma real).

Recursos para se evitar inserção de backdoors Limitar recursos do usuário root (lskm, grsec, rbac e outros) evita se carregamento de módulos, mas não serve contra subversão do kernel. Proteger o kernel (stmichael) tenta se evitar subversões do kernel com recursos de voltar a um estado antes da mesma ocorrer ou até desligar o equipamento por completo desenvolvido por Timothy Lawless e atualmente mantido por Rodrigo Rubira Branco (eu :) Backdoors em modo usuário através da infecção de processos e arquivos pode se adicionar uma backdoor em modo usuário sem subversões diretas ao kernel (ou com recursos de aplicar patchs no kmem quando solicitados) tais backdoors podem ser evitadas com verificações de hash (aide/tripwire) do sistema e recursos de ACL.

Recursos para a Backdoor não ser Detectada Detonando Chkrootkit e KSTAT Chkrootkit Criado por Nelson Murilo, palestrante desta e da anterior edição do H2HC. Ferramenta para checagem de rootkits que roda em modo usuário, e que como o próprio autor sempre admite, não é absoluta, apenas auxilia para detecção de rootkits mais simples. Kstat Criado por FuSyS, da SoftProject Digital Security for Y2K Ferramenta que visa detectar rootkits através da leitura do /dev/kmem assim que instalado o sistema e gravação em arquivo dos resultados. Quando se executa, ele compara os endereços atuais com os armazenados originalmente, identificando mudanças.

Recursos para a Backdoor não ser Detectada Detonando Chkrootkit (*) Diversas formas existem para se passar pelo chkrootkit, analisando algumas delas podemos citar: Alias do comando unalias seguido por alias dos comandos utilizados pelo chkrootkit (funciona apenas em alguns shells) Rodrigo Rubira Branco ### workaround for some Bourne shell implementations unalias login > /dev/null 2>&1 unalias ls > /dev/null 2>&1 Detecção do chdir para /usr/lib/chkrootkit (Rodrigo Rubira Branco) # the base chkrootkit is designed to be run from it's build directory, # therefor it uses "./" as a prefix to all it's executables. we need to # change to /usr/lib/chkrootkit to keep this working cd /usr/lib/chkrootkit

Recursos para a Backdoor não ser Detectada Detonando KSTAT (*) Se interceptarmos a tentativa de leitura do kstat no /dev/kmem e retornarmos os hacks ao estado original, efetuarmos o read e logo após setarmos os hacks novamente, o kstat não conseguirá identificar os ataques.

Outros Recursos de Backdoors e o Futuro (*) Uma backdoor pode simplesmente esperar por um payload contendo um rootkit a ser inserido no kernel (via /dev/kmem ou /dev/mem por exemplo). Tal backdoor pode rodar em modo kernel ou simplesmente ser um aplicativo modo usuário que realize tal operação. O exemplo aqui apresentado ainda não está 100% funcional, mas permite verificarmos a inserção do código na memória do kernel e o trap realizado, embora o endereço em si do rootkit ainda não esteja sendo atingido e o mesmo não acabe sendo executado.

Agradecimentos - Aylton -> Microsoft - Sergio -> Microdevices - Angelo -> SCUA - Organização do H2HC - Todos os presentes pela paciência

FIM! Será mesmo? DÚVIDAS? Rodrigo Rubira Branco rodrigo@kernelhacking.com bsdaemon@bsdaemon.org

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback