Андрей Лабунец. Механизмы трассировки
TRANSCRIPT
Механизмы трассировки сетевого трафика для исследования
уязвимостей
Лабунец Андрей
2
• ТюмГУ– Кафедра информационной безопасности
• Digital Security– Анализ защищенности ERP-систем– Поиск уязвимостей и путей эксплуатации
• NetworkProfi– Разработка технических средств ИБ
#whoami
3
* не только BoF или SQLinj
• Зачем?– Продать ZDI или iDefense– Консалтинг и тесты на проникновение– Часть процесса разработки (SDL)
• Как?– Статический анализ– Фаззинг– Реверс-инженеринг– Реверсинг патчей– …
Поиск уязвимостей…*
4
• Что особенного?– Чаще всего черный ящик– Огромное количество компонентов– Закрытые форматы, неизвестные протоколы
…в бизнес-приложениях
Сложно ли написать эксплоит, уже зная, какой параметр вызывает переполнение?
5
Часто бывает сложно (DSECRG-00180)
payload1Web server
Beasvc.exe
payload2
recv(payload2)
JSH.exe
recv(payload3)
psappsrv.exe
recv(payload4)
payload1
Buffer overrunTuxedo server OS
6
• Web– Плагины: Tamper Data, Live HTTP Headers
• Application layer– Прокси: Fiddler, pdb
• Перехват API-вызовов– Dll hijacking, API Hooks
• Перехват на уровне интерфейсов– NDIS Filter driver
Как отлаживать протоколы?
Уязвимы не только web-приложения
Не весь трафик легко пустить через прокси
Неудобно, если компонентов много
Не перехватить Loopback-пакеты
7
1. Перехват пакетов – в callout-драйвере, используя Windows Filtering Platform
2. Разбора протоколов – внутри Wireshark (его придется немного модифицировать)
3. Управлять драйвером – через IOCTL
Можно сделать лучше
8
Можно сделать лучше
wireshark.exe
dump.pcap
DeviceIoControl
WriteFile
ReadFileTCP/IP Stack
callout driver
thDumperPacket
Block
Inject
9
#who | grep “DSecRG”
Подразделение Digital Security:• Поиск уязвимостей• Написание эксплоитов• Написание статей и книг
Направления работы:• Безопасность SAP/ERP/Oracle• Методы эксплуатации, обход защит• Защищенность банковского ПО
10
#who | grep “NetworkProfi”
• Разработка продукта Lanagent• Логгирование действий пользователя• Перехват icq, почты• Мониторинг подключаемых устройств• Скриншоты, нажатия клавиш, etc..