Ім'я файлу: вторгнення.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Розширення: docx
Розмір: 253кб.
Дата: 13.05.2022
скачати
Пов'язані файли:
ПРАКТИЧНА РОБОТА №4 Звіт.docx
Обхід системи розпізнавання шаблонів
Система перевіряє вміст кожного з пакетів на співпадіння з шаблонами атак, у випадку співпадіння генерується попередження.
Цей підхід є проблематичним, оскільки не всі вхідні дані повинні бути однаковими, щоб використати одну й ту саму вразливість. Або іншими словами одна й те сама атакуюча команда може мати різні представлення.
Приклад безкоштовна система виявлення вторгнень Snort має шаблон що перевіряє чи TCP пакет містить в собі рядок "/etc/passwd", тобто чи намагаємось ми якимось чином отримати доступ до файлу що містить паролі:
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-MISC /etc/passwd"; flow:to_server,established; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:5;)
Ми бачимо що цей шаблон є дуже простим, і метод його обходу криється в використанні кодування utf-8, за допомогою якого кожен символ можна представити декількома способами, наприклад:
“/” може бути представлений як U+005C, 0x5C, C191C, E0819C “A” - U+0041, 0x41, U+100, U+0102, U+0104, U+01CD, U+01DE
Існує 30 унікальних способів представити літеру ‘A’, 34 унікальних способів представити літеру ‘E’, 83,060,640 способів представити рядок “AEIOU”.
Таким чином ми можемо згенерувати велику кількість запитів які матимуть однакове значення для сервера, але всі вони будуть виглядати по різному для СВВ і якийсь із них може бути пропущений нею.
Наприклад рядок "/etc/passwd" буде виглядати наступним чином в utf-8:
\x2F\x65\x74\x63\x2F\x70\x61\x73\x73\x77\x64
Також можна використати обхід файлової системи, наприклад зайти в певну папку, потім завдяки команді ‘..’, вийти з неї і після цього зайти в потрібну папку.
Приклад, який є еквівалентним до ‘"/etc/passwd’:
/etc//\//passwd
/etc/rc.d/../../.\passwd
Виконання поліморфного Shellcode
СВВ на основі сигнатур шукають потенційні атаки шляхом пошуку попередньо визначених шаблонів.
Поліморфні атаки - це атаки, в яких кожен екземпляр шкідливого програмного забезпечення відрізняється, але виконує ту ж саму зловмисну дію, намагаючись уникнути виявлення за допомогою сигнатур. Шифрування, перестановка байтів і 'заплутування' коду - це методи перетворення коду, які використовуються для забезпечення того, щоб трафік атаки не збігся з сигнатурою [17].
Поведінкові системи виявлення вторгнень розробляють статистичні та евристичні профілі, які визначають нормальну поведінку під час періоду навчання системи. Розподіл частоти байтів, виникнення послідовності байтів, довжини пакетів і розподіл символів є прикладами статистичних характеристик, включених до профілю СВВ. Після того, як захищувана мережа є вивченою, СВВ сповіщатиме про те, коли характеристики трафіку будуть відхилятися від 'норми' на певне значення [18].
Різновиди поліморфного коду часто виявляються СВВ на основі машинного навчання. Розподіл частот байтів часто буде однаковим для різних випадків атаки. Значення байтів можуть бути різними через заміну або шифрування, але часто існує загальна крива розподілу для одної і тої самої атаки, яка є видозміненою.
Поліморфні атаки видозміни є поліморфними атаками, які створюються відповідно до профілю нормальної поведінки для певної мережі. Шкідливе програмне забезпечення, яке генерує атаку, досліджує мережу для розробки її профілю. Після того, як зловмисне програмне забезпечення розробило
'профіль' для мережі, ПО створює поліморфні екземпляри атакуючих програм, характеристики яких відповідають 'профілю' мережі. Методи змішування дозволяють включати всередину атакуючого ПО вставки, які не будуть виконані, для забезпечення співпадіння кількості байтів і частотної статистики. Однією з таких вставок може бути NOP - асемблерна команда яка фактично нічого не робить. Відкрите ПО 'CLET' є так званим поліморфним двигуном, який використовує байтові вставки і шифрування з ключами різної довжини в спробі збільшити складність виявлення[18].
Змішування нормального і атакуючого трафіку збільшує кількість хибних спрацювань[19]. Хибні спрацювання витрачають ресурси СВВ, що також є позитивним явищем з точки зору атакуючого.
Рисунок 2.2 – Приклад атаки на основі поліморфного Shellcode