|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:06:10
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 6 of 13 of file WUESTR.TXT
textbegin.section
4.1.13 Подмена стека IP
Описание: Использование другого стека IP для отправки и получения па-
кетов.
Требуемый доступ: Локальный.
Суть: Персональный фаирволл не видит траффик.
Ущерб: К траффику фильтрация применена не будет.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Инсталляция нового сетевого драйвера. Инсталляция поставщика
многоуровневых служб для отсылки траффика.
4.1.14 Hевидимость
Описание: Обеспечение невидимости процесса для персонального фаирвол-
ла.
Требуемый доступ: Локальный.
Суть: Применение патча ядра для скрытия приложения от вызовов API.
Ущерб: К траффику фильтрация применена не будет.
Цель: Преодоление исходящей фильтрации.
Варианты: Использование различных руткитов для систем Windows.
4.1.15 Исчерпание ресурсов
Описание: Потребление всех доступных ресурсов охраняемой машины.
Требуемый доступ: Локальный.
Суть: Потребление всех доступных ресурсов с целью вероятного краха
персонального фаирволла или, по крайней мере, прекращения
его работы.
Ущерб: Прекращение работы персонального фаирволла.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Обращение к различных ресурсам типа процессорного времени
или памяти.
4.1.16 Изменение лога
Описание: Изменение лога персонального фаирволла.
Требуемый доступ: Локальный.
Суть: Удаление следов после успешной атаки.
Ущерб: Поддельные логи событий.
Цель: Дезинформация.
Варианты: Добавление сигналов тревоги об атаке, не имевшей места. Уда-
ление всего лога.
4.1.17 Изменение набора правил
Описание: Изменение набора правил персонального фаирволла.
Требуемый доступ: Локальный.
Суть: Редактирование набора правил для разрешения любого траффика.
Ущерб: Добавление пользовательского правила.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Добавление новых специальных правил или редактирование су-
ществующих.
4.1.18 Hажатие кнопки "да"
Описание: Внедрение приложения, автоматически нажимающего в автонаст-
ройщике правил кнопку "да" при создании нового правила.
Требуемый доступ: Локальный.
Суть: Автоматическое создание правила для инструмента агрессии.
Ущерб: Добавление пользовательского правила.
Цель: Преодоление входящей и исходящей фильтрации.
Варианты: Использование автонастройщика для создания всеразрешающего
правила.
4.1.19 Затопление сигналами тревоги
Описание: Попытка затопить персональный фаирволл сигналами тревоги.
Требуемый доступ: Удалённый.
Суть: Чрезмерное количество сигналов тревоги может вызвать переза-
пись старых сигналов тревоги в логе.
Ущерб: Потеря информации.
Цель: Hезамеченная атака.
Варианты: Применение различных размеров логов.
4.1.20 Манипуляция доверяемым приложением
Описание: Удалённое управление доверяемым приложением, имеющим связь с
сетью. Применение COM-объектов для открытия скрытого окна
браузера. Доступ с него на специальную веб-страницу для об-
мена информацией.
Требуемый доступ: Локальный.
Суть: Претензия на доверяемое приложение.
Ущерб: К траффику будет применена фильтрация доверяемого приложе-
ния.
Цель: Преодоление входящей и исходящей фильтрации.
Глава 5
Результаты
В этой главе представлены результаты, полученные в процессе тестирования
персональных фаирволлов, и рассматриваются выявленные проблемы их разработки.
5.1 Результаты атак
5.1.1 Терминация процесса
Описание атаки:
В качестве ограниченного пользователя, попытаться терминировать процесс
исполнения персонального фаирволла. В случае успеха, работа фаирволла и его
функций будет прекращена, что обеспечит неограниченный доступ в Интернет. В
случае неуспеха, попытаться проделать то же самое с правами администратора.
Использованное средство:
"Process Xplorer" от "Sysinternals" [11].
"Zonealarm":
Выбор процесса Zonealarm.exe и отправка терминирующего сообщения заверша-
ет процессы фаирволла, включая службу "TrueVector" VSmon.exe, осуществляющую
фильтрацию. При этом во время эксперимента "TrueVector" завершалась не всегда
корректно. Поэтому лучшим подходом представляется отдельно терминировать сна-
чала VSmon.exe и затем Zonealarm.exe. "Zonealarm" заметит, что служба "True-
Vector" больше не исполняется, и спросит пользователя, следует ли её переза-
пустить, но если "Zonealarm" также терминирован, этого уже не произойдёт.
Когда фаирволл находится в режиме "блокировать всё", называемом также
"аварийным", после терминации процесса дальнейшая связь по сети остаётся не-
возможной. По-видимому, в этом случае некий драйвер нижнего уровня внедряется
в сетевой стек, прекращая все соединения. Терминация процесса драйвер не уда-
ляет, поскольку собственно процессом, блокирующим траффик, он не является. Же-
лательно выяснить, что именно инсталлируется процессом, чтобы определить, мо-
жет ли атакующий удалить и его.
"Symantec Desktop Firewall":
Ограниченный пользователь имеет возможность терминировать процесс IAMAPP.
EXE. К сожалению, это лишь убирает иконку в системном лотке. Исследование про-
цесса загрузки обнаруживает, что первичный процесс запускает другую утилиту
NISSERV.EXE. Этот процесс собственно и ответствен за фильтрацию траффика. Поэ-
тому терминация его и есть то, что нужно. В результате эксперимента выясни-
лось, что ограниченный пользователь терминировать его возможности не имеет,
однако, в результате попытки этого он переходит в состояние, при котором не
отвечает и никакой дальнейшей фильтрации не осуществляет. С правами админист-
ратора терминация процесса фаирволла не составляет никакой проблемы.
Если этот вариант не рассматривается, возникает идея удалить запись реес-
тра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : IAMAPP
запретив тем самым автозагрузку фаирволла. При следующей перезагрузке системы
фаирволл запущен не будет.
"Sygate Personal Firewall":
Даже у администратора не существует возможности терминировать процесс
фаирволла SCM.EXE непосредственно. Он включает несколько потоков, которые пос-
тоянно проверяют терминирующие сообщения и пытаются блокировать их или переза-
пустить службу. Это хорошая идея.
Однако, хотя терминировать процесс непосредственно невозможно, это можно
сделать косвенно. В списке открытых хендлов процесса фаирволла, можно видеть
т.н. "\Default" типа "Desktop". Если этот хендл закрыть, вскоре появится сооб-
щение "Dr. Watson" о том, что процесс SMC.EXE сгенерировал ошибку и будет ос-
тановлен. Даже если не нажимать кнопку "OK" этого сообщения, через 15 с (при
холостой работе), процесс будет завершён и система останется незащищённой. Су-
ществует возможность установить пароль на запуск и остановку службы фаирволла,
но это не помешает описанной выше атаке, поскольку запрос пароля при этом не
выводится.
Общие выводы
В случаях всех трёх протестированных продуктов возможность терминации
процесса фаирволла существует. Она может быть произведена компьютерным виру-
сом или троянской программой, открывая после завершения фаирволла полный дос-
туп к Интернету. Разумеется, разработать процесс, который было бы невозможно
терминировать инструментом диверсии, запущенным пользователем, непросто, пос-
кольку одно из требований, предъявляемых к персональному фаирволлу, Д это воз-
можность его отключения пользователем при необходимости. Следствием этого ста-
новится то, что теоретически атакующий может использовать конфигурирующую ути-
литу персонального фаирволла и удалить все нежелательные функции, окончив при-
ложением, завершающим процесс фаирволла. Поэтому надёжный способ обеспечить
невозможность остановки процесса фаирволла неизвестен, если только не отказать
в праве включать и выключать фаирволл нормальному пользователю.
Противодействие
"Sygate Personal Firewall" стоит на правильном пути, но нуждается в даль-
нейшем улучшении с тем, чтобы сделать завершение исполнения фаирволла невоз-
можным, по крайней мере, для обычного ограниченного пользователя.
5.1.2 Внедрение в память
Описание атаки:
Загрузить инструмент агрессии в пространство памяти доверяемого приложе-
ния через выделение памяти для некоей функции в его рабочей области и запус-
тить в ней поток.
Использованное средство:
"BackStealth"
К сожалению, имеющаяся версия "BackStealth" несовместима с фаирволлами,
участвовавшими в данном тестировании, т.к. была разработана для версий более
ранних. Поскольку время, выделенное на данную работу, было ограничено, запрог-
раммировать собственное внедрение памяти для трёх фаирволлов не представлялось
возможным. Как следствие, тестирование с данным средством не проводилось.
Согласно доступной информации, внедрение кода в доверяемое приложение
предположительно осуществимо. В Интернете имеются обобщённые примеры кода для
данной цели на различных языках программирования. Hапр., исходный код для
внедрения собственных функций в приложение можно найти на сайте "MADshi" [15].
Исследования показали, что подобные приёмы уже используются для обхода персо-
нальных фаирволлов в некоторых троянах типа "Assasin".
5.1.3 Затопление SYN 1, всё случайное
Описание атаки:
Затопить целевую машину TCP-пакетами, имеющими выставленный флаг SYN. Па-
кеты изготовлены со случайным IP-адресом источника, случайными портами источ-
ника и случайными портами получателя.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется. DoS-эффекта не возникает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется. DoS-эффекта не возникает.
"Sygate Personal Firewall":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется. В течение атаки загрузка CPU возрастает до 100%.
Общие выводы
Атаки данного типа не могут быть сведены к одному сообщению о событии,
поскольку события различаются. Каждый пакет имеет различный IP-адрес источника
и не может быть выделен из общего траффика. Тем не менее, DoS-эффекта не воз-
никает.
Противодействие
Удостовериться в отсутствии DoS-эффекта наблюдением за загрузкой памяти и
CPU. Возможно также блокирование пакетов на нижележащем уровне. SYN-затопления
должны распознаваться и сообщаться как тревожное событие.
5.1.4 Затопление SYN 2, случайные порты
Описание атаки:
Затопить целевую машину TCP-пакетами, имеющими выставленный флаг SYN. Па-
кеты изготовлены с постоянным IP-адресом источника, случайными портами источ-
ника и случайными портами получателя.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется. DoS-эффекта не возникает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. Специального сообщения
не генерируется. DoS-эффекта не возникает.
"Sygate Personal Firewall":
Сообщает о каждом пакете как об отдельном событии. В системном логе нес-
колько раз регистрируется сканирование портов с одного IP-адреса. DoS-эффекта
не возникает.
Общие выводы
Данная атака должна выявляться как сканирование портов или DoS-атака.
Каждый из вариантов близок к истине, равно как и оба вместе. Поэтому сообщение
о ней как о сканировании портов ошибкой не является, поскольку для персональ-
ного фаирволла она выглядит как таковое.
Противодействие
Предпринимать что-либо против данного вида атак нет необходимости, пос-
кольку траффик успешно блокируется фаирволлом. Атакующий никакой реакции не
наблюдает.
5.1.5 Затопление SYN 3, статическое
Описание атаки:
Затопить целевую машину TCP-пакетами, имеющими выставленный флаг SYN. Па-
кеты изготовлены с постоянным IP-адресом источника, постоянным портом источни-
ка и постоянным портом получателя.
Использованное средство:
"HGOD_flood.exe"
"Zonealarm":
Сообщает обо всех пакетах в сообщении об одном событии с увеличивающимся
счётчиком. Итоговый счёт очень маленький, т.е. некоторое количество пакетов
теряется. Специального сообщения о событии не генерируется. DoS-эффекта не
возникает.
"Symantec Desktop Firewall":
Сообщает о каждом пакете как об отдельном событии. Итоговый счёт очень
маленький, т.е. некоторое количество пакетов теряется. Специального сообщения
о событии не генерируется. DoS-эффекта не возникает.
"Sygate Personal Firewall":
Сообщает обо всех пакетах в сообщении об одном событии с увеличивающимся
счётчиком. По мере продолжения атаки, через неопределённый промежуток времени
выводится сообщение о новом событии. Специального сообщения о событии не гене-
рируется. DoS-эффекта не возникает. По-видимому, в процессе атаки некоторые
пакеты были потеряны.
Общие выводы
Данная атака должна выявляться как DoS-атака. Разумеется, как указано в
разделе 5.1.4, она также может быть сканированием портов, но после обнаружения
нескольких идентичных пакетов, постоянно идущих с одного порта источника в
один порт получателя, сканирование портов может быть исключено. Подобное пове-
дение не имеет смысла для сканирования портов, но обычно для DoS-атак.
Противодействие
Предпринимать что-либо против данного вида атак нет необходимости, пос-
кольку траффик успешно блокируется фаирволлом. Атакующий никакой реакции не
наблюдает. Однако, желательно, чтобы об атаке сообщалось специальным сообщени-
ем о DoS-атаке.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
18 Nov 2005 17:06:10 |
|
|
