Ako na IDS # prienik

13.10.2007 15:30 | blackhole_socket

Takže rozhodol som sa čoto napísať o prieniku do nejakého systemu beztoho aby otom niekto kompetentný vedel :)

...Tak na začiatok IDS = Instrusion Detection Systems, je to vlastne detektor prieniku do systému alebo siete. Skladá sa z troch častí a to sú :
-- sledovače datového toku siete
-- analitické zložky ktoré vyhodnocujú tok siete
a ešte v neposlednom rade
-- výstražné zariadenia ktoré na zaklade toho ako je system detekcie preieniku nastavený spustí hlasenie pre system (zapisi do protokolov systemu, rôzne upozornenia atd.) .

Každý útok ma svoj charakteristický znak !
Príklad. pokus o nadobudnutie príkazového riadku na systeme IIS cez URL :
V provom rade zachitia sledovače toku siete datový prenos s istej Ip adresy a potom ho odošlú analitickým zložkám a tie pokial útok rozpoznajú tak ho vyhodnotia ako utok (to jest nebezpečenstvo pre system ) a v takom prípade ho odovzdajú zariadeniu pre vystrahy ktoré zapíše útok do systemového protokolu a ten si može potom admin kludne pozrieť :)

Takže teraz ked už chapeme načo take IDS slúžy pustime sa dotoho ako cezto preniknúť do systému bez povšimnutia :)
Takže v prvom rade su dve zakladné taktiky ktoré si môžme zvoliť a to sú :
1. prienik do systemu bez povšimnutia IDS
2. prienik do systemu cez zblbnuté IDS ktoré do takého stavu dostaneme prostredníctvom falošních príkazov

Každý si môže vybrať vlastnú taktiku na prienik :)
Tak a teraz sa pozrieme podrobnejšie na rôzne spôsoby tychto dvoch taktík.

Takže :
Prienik do systemu bez povšimnutia IDS

1. Útok prevádzaný cez zašifrované HTTP čiže HTTPS = je to vlastne útok prevádzaný cez SSL (Secure Sockets Layer) ktorý prebiaha priamo medzi serverom a klientovým prehliadačom ! čo je prenás velmy výhodné pretože IDS sa ku našmu šifrovanému prenostu nedostane ! (jednine v prípade prevrateného proxy)

Takže v prípade útoku cez URL stačí pre použitie SSL prehodiť prenos HTTP na HTTPS (http://www.blackhole.sk => https://www.blackhole.sk)
ale v ako nato v prípade že sa chystate na systeme spostiť script ?
Použieme techniku "tunelovania útoku cez SSL"
na unixových sysémoch je to velmy jednoduché(použitie OpenSSL) (microsoftu sa nevenujem) :
upravíme si subor inetd.conf (/etc/inetd.conf)
a to takto :
doplníme tam riadok :

www  stream  tcp  nowait  root  /usr/src/tcpd  /tmp/sslconnect.sh

a subor sslconnect.sh bude vypadať nejak takto :
#!/bin/bash
openssl s_client -no_tls1 -quiet -connect IP_adresa_servera:443
2>/dev/null

vtomto prípade bude odchitávaný všetok prenos cez port 80 a bude odosielaný serveru portom SSL a to je 443.
dalšov technikov ako oklamať analitické zložky IDS je Polymorfné URL

2.Polymorfné URL
Polymorfné znamená majúce vela podôb.
a tam patrý:
2.1 --šestnáctkové kodovanie URL znakov
Všetky metaznaky v url zakodujeme priamo do dvojčíselného šestnáckového ACSII kodu.

2.2 --vkladanie "/./"
príklad : chceme sa dostať ku suboru /msadc/lama.exe
zadáme : GET /./msadc/./lama.exe alebo : GET /.//./msadc/.//./lama.exe

2.3 --doplnovanie falošných ciest
príklad : chceme sa dostať ku suboru /msadc/lama.exe
zadame: GET /porno/../msadc/videa/../lama.exe

2.4 --použitie neštandartných oddelovačov cesty (pri IIS)
napisto / sa v IIS môže používať aj \ ajked neviem ako to je v new verziach

2.5 --oužitie násobných lomítok
príklad: GET //msadc//lama.exe alebo : //////msadc//////lama.exe
.............................................................................
Kombinaciou tychto techník môžete hlatko prejsť cez IDS !!!
.............................................................................
Prienik do systemu cez zblbnuté IDS ktoré do takého stavu dostaneme prostredníctvom falošních príkazov.

Vyvolať taký planý poplach na vzdialenom systeme môžeme velmy jednoducho, stačí nám vedeť
na aké znaky IDS reaguje.

príklad:
www.example.sk/index.html#cmd.exe (prípad M$)
www.example.sk/index.php?premene=cat+/etc/shadow| (príklad unixu)

Jednoducho bude IDS reagovať na naše podložené znaky v URL a neustale upozornovať administratora (zapis do logov, protokolov).
Takáto činosť podstrčovania slov/znakov sa da jednoducho zautomatizovať pomocov rôznych nástrojov,
vtakom prípade sa to opakuje omnoho rychlejšie a vzdialené IDS možme priviesť do stavu kedy si náš prienik ano nevšimne.

--------------------------------------------------

Dufam že ste z tohto članku aspon čoto pochopili z nebezpečenstiev ktoré číhajú na mladého zvedavca :)

    • Re: Ako na IDS # prienik 14.10.2007 | 12:47
      Avatar blackhole   Návštevník

      Zopar postrehov:
      - IDS nemusi monitorovat len network traffic, ale napr. aj systemove logy (hostove IDS - HIDS)
      - sifrovanie trafficu ti nemusi pomoct prave na HIDS, lebo moze byt nastavene tak, aby vyhodnocoval sietovy traffic az po jeho desifrovani hostom
      - ked zblbnes IDS takym sposobom ako popisujes tak dosiahnes generovanie velkeho mnozstva udalosti (co je prva ved pri trendovej analyze, ktoru si clovek vsima:). Povedzme, ze pouzivas vela hostov na generovanie falosneho obsahu a jeden/zopar na samotny utok. V danej situacii mozno oklames cloveka, co sedi za konzolou, ale tazko napr. korelacny engine nejakeho SIM nastroja, nehovoriac uz o tom, ked mas IDS zapnute v IPS mode. Tymto sposobom mozes pretazit IDS/IPS a sposobit DoS, to vsak asi nebolo cielom.

      • Re: Ako na IDS # prienik 14.10.2007 | 18:19
        Avatar blackhole_socket   Používateľ

        neviem presne ak osi to myslel ale taffic dokaže dešifrovať iba obratené proxi ktoré ma spravny key takže jedine že by bolo IDS medzi proxi a serverom

        • Re: Ako na IDS # prienik 15.10.2007 | 09:02
          Avatar blackhole   Návštevník

          Nie sietove IDS ale hostove, ktore priamo sedi na serveri, kde je ulozeny sifrovaci kluc

        • Re: Ako na IDS # prienik 17.10.2007 | 09:51
          Avatar BH   Používateľ

          HTTPS ti velmi nepomoze. Skus sa pozriet napriklad na http://www.modsecurity.org/
          . Vie si poradit aj s evasion technikami.
          ;-)

          BH == /dev/null
    • Re: Ako na IDS # prienik 16.10.2007 | 17:05
      Avatar blackhole   Návštevník

      Clanok ok. Kopa informacii.
      Ale urob cosi s pravopisom. Nevyzera to cool a zle sa to po tebe cita.

    • Re: Ako na IDS # prienik 22.10.2007 | 11:17
      Avatar blackhole   Návštevník
      Zkus si to treba se snortem, pokud se budeme bavit o nids ( network ids ). Sifrovani pres ssl pomuze jenom pokud budes utocit na webapps ( ja sice vim, ze to v dnesni dobe je trendy a cool, ale visco ). V Pripade hids, nebo nejake staticke log-analyzer tooly budes stejne v haji, protoze se to v logu stejne ukaze bud jak bud. Dnesni nids ale zvladaji i ssl-kryptovane utoky, pokud bezi na boxu ktery je v dmz a vyhodnocuje traffic. Jedina moznost pak je tedy decoy, tzn. velke mnozstvi fake alertu, coz ale _nezpusobi_ ze si utoku nids nevsimne, proste to nemuze udelat :)) maximalne tak administrator bude alerty ignorovat, pokud ale neni blbej, tak proste zabanuje ip ze ktere to prichazelo a ma vystarano.