Netzbasierte Erkennung von mittels PortKnocking versteckten Diensten und Back-doorsFelix von Eye, Michael Grabatin, Wolfgang Hommel

Wichtige Abgrenzung

Was wir nicht betrachten:

Schwachstellen

Eingebaute Hintertüren in regulären Diensten, z. B.

Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter

Dies erfordert fundamental andere Erkennungsalgorithmen.

⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2

Wichtige Abgrenzung

Was wir nicht betrachten:

Schwachstellen

Eingebaute Hintertüren in regulären Diensten, z. B.

Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter

Dies erfordert fundamental andere Erkennungsalgorithmen.

⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2

Wichtige Abgrenzung

Was wir nicht betrachten:

Schwachstellen

Eingebaute Hintertüren in regulären Diensten, z. B.

Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter

Dies erfordert fundamental andere Erkennungsalgorithmen.

⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2

Wichtige Abgrenzung

Was wir nicht betrachten:

Schwachstellen

Eingebaute Hintertüren in regulären Diensten, z. B.

Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter

Dies erfordert fundamental andere Erkennungsalgorithmen.

⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2

Wichtige Abgrenzung

Was wir nicht betrachten:

Schwachstellen

Eingebaute Hintertüren in regulären Diensten, z. B.

Umgehung der AutorisierungskomponenteUndokumentierte Default-Passwörter

Dies erfordert fundamental andere Erkennungsalgorithmen.

⇒ Wir fokussieren uns im Folgenden auf die Erkennung vonversteckten Diensten.

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 2

Was ist Port Knocking?

Client 2

TCP: 5002 TCP:80 UDP:53 ICMP TCP:443 TCP:5002Server

SYNRST

SYNRST

SYNACKPSHFIN

Typ 8Code 16

Zeitlicher Ablauf der Port-Knocking-Sequenz

Client 1

SYNRST

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 3

Gegenmaßnahmen?

Firewalls

Lokales Scannen nach aktiven Diensten

Analyse des Netzverkehrs

Aber: Geht das auchin heterogenen, nicht zentral administriertenHochschulnetzen?

bei gut gemachter Malware, die Rootkit-Funktionalitätenbesitzt?

ohne Tool-Unterstützung?

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 4

Gegenmaßnahmen?

Firewalls

Lokales Scannen nach aktiven Diensten

Analyse des Netzverkehrs

Aber: Geht das auchin heterogenen, nicht zentral administriertenHochschulnetzen?

bei gut gemachter Malware, die Rootkit-Funktionalitätenbesitzt?

ohne Tool-Unterstützung?

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 4

Grundsätzliche Ideen

„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands

„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen

„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5

Grundsätzliche Ideen

„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands

„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen

„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5

Grundsätzliche Ideen

„Kenne dein Netz und deine Dienste“Regelmäßige Ermittelung des Ist-Zustands

„Kenne deine Kommunikation“Speichern von relevanten KommunikationsmetadatenKommunikation von regulären Diensten ausfilternFlow-Records korrelieren und filtern, um z. B. Portscans zuerkennen

„Erkenne Backdoors“Erkennung von irregulären DienstkommunikationsmusternErkennung der Port-Knocking-Sequenz

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 5

Datenquellen

Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung

Flow Records zur Speicherung der Kommunikationsmuster

ausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung

Netz- Interface

Flow-Record-Aggregator

Portscanner

Filterung & Sequenzerkennung

mit Perl

Cflow.pm

Flow-Record-Dateien

Portscan-Datei

Konsolenausgabe

Konfigurations-parameter &

Ausnahmeliste

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6

Datenquellen

Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung

Flow Records zur Speicherung der Kommunikationsmusterausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung

Netz- Interface

Flow-Record-Aggregator

Portscanner

Filterung & Sequenzerkennung

mit Perl

Cflow.pm

Flow-Record-Dateien

Portscan-Datei

Konsolenausgabe

Konfigurations-parameter &

Ausnahmeliste

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6

Datenquellen

Mögliche Quellen für den Ist-ZustandPortscansCMDBmanuelle Eingruppierung

Flow Records zur Speicherung der Kommunikationsmusterausgewählter Teil der Header-Informationen, insb. keinPayload, verfügbarFlow-Records-kompatiblen Protokolle (insb. TCP, UDP undICMP)manuelle Eingruppierung

Netz- Interface

Flow-Record-Aggregator

Portscanner

Filterung & Sequenzerkennung

mit Perl

Cflow.pm

Flow-Record-Dateien

Portscan-Datei

Konsolenausgabe

Konfigurations-parameter &

Ausnahmeliste

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 6

Wie wird ein versteckter Dienst erkannt?

Verbindungsrichtung

Systemklassifikation

Protokoll

Ausgehend

Eingehend

Reaktion

Vollständiger Handshake

UDP

TCP

Kein Dienst oder Firewall

Portscan erkennt Dienst

Nein

Ja

Versteckter Dienst

Nein

Regulärer DienstJa

Erlaubte Verbindung

Kann nicht näher kontrolliert werden

Server

ClientPotentielle Backdoor

Automatisches Update oder ähnliches

Ja

Nein

Gleiche Pakete auch an andere Hosts

Potentiell verdächtigAntwort

Keine

Vermutlich Portscan oder ähnliches

Potentiell verdächtig

Ja

Nein

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 7

Erkennung der Port-Knocking-Sequenz

Wird bei erkannten versteckten Diensten durchgeführt

Nützlich zum Finden von ähnlicher Malware

Erleichtert die forensische Analyse

Wertet die letzten 10ms der Kommunikation aus

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 8

Prototypische Tests

Internet Aufzeichnen von Flow-Records

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9

Prototypische Tests

Internet Aufzeichnen von Flow-Records

6 Systeme, 3 Linux-Server, 3 Windows-Server/-ClientsSammlung der Flow-Records auf der Auswerteeinheit;Überwachung jeglicher KommunikationInstallation verschiedener Dienste und BackdoorsNutzung dieser Dienste im Friendly-User-Betrieb

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9

Prototypische Tests

Internet Aufzeichnen von Flow-Records

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9

Prototypische Tests

Internet Aufzeichnen von Flow-Records

Sammlung von > 1 000 000 Flow RecordsPortscan mit nmap; Auswertung durch Perl-PrototypErkennung aller genutzten Port-Knocking-SequenzenNur 16 False Positives

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 9

Erkannte Schwächen

Export der Flow-Records nur zeitverzögert (bis 15 MinutenDelay)

Prototyp ist bisher noch ein wenig langsam

Zusammenhängende Port-Knocking-Sequenzen nur innerhalbeines Zeitfensters von 10ms

Noch nicht alle Dienste werden zuverlässig als legitim erkannt(z. B. FTP)

Erkennung von Portscans zum Ausfiltern muss noch verbessertwerden

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 10

Zusammenfassung

Flow-Record-basiertes Verfahren

Einpflegen von relevanten Background-Wissen (legitimeDienste und Netzbereiche)

Erkennung von irregulären Dienstkommunikationsmustern

Erkennung von einfachem Port-Knocking-Sequenzen

Prototypische Implementierung

Relativ geringe Anzahl von False Positives

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 11

Ausblick

Schutz von kritischen Systemen in speziellen Netzen

Integration des Ansatzes in Honeypots

Portierung für Software Defined Networks

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 12

Fragen?

Kontakt:Felix von Eye

voneye@lrz.de

08.06.2015 Felix von Eye — Backdoors — 8. DFN-Forum 13