Механизмы трассировки сетевого трафика для исследования

уязвимостей

Лабунец Андрей

2

• ТюмГУ– Кафедра информационной безопасности

• Digital Security– Анализ защищенности ERP-систем– Поиск уязвимостей и путей эксплуатации

• NetworkProfi– Разработка технических средств ИБ

#whoami

3

* не только BoF или SQLinj

• Зачем?– Продать ZDI или iDefense– Консалтинг и тесты на проникновение– Часть процесса разработки (SDL)

• Как?– Статический анализ– Фаззинг– Реверс-инженеринг– Реверсинг патчей– …

Поиск уязвимостей…*

4

• Что особенного?– Чаще всего черный ящик– Огромное количество компонентов– Закрытые форматы, неизвестные протоколы

…в бизнес-приложениях

Сложно ли написать эксплоит, уже зная, какой параметр вызывает переполнение?

5

Часто бывает сложно (DSECRG-00180)

payload1Web server

Beasvc.exe

payload2

recv(payload2)

JSH.exe

recv(payload3)

psappsrv.exe

recv(payload4)

payload1

Buffer overrunTuxedo server OS

6

• Web– Плагины: Tamper Data, Live HTTP Headers

• Application layer– Прокси: Fiddler, pdb

• Перехват API-вызовов– Dll hijacking, API Hooks

• Перехват на уровне интерфейсов– NDIS Filter driver

Как отлаживать протоколы?

Уязвимы не только web-приложения

Не весь трафик легко пустить через прокси

Неудобно, если компонентов много

Не перехватить Loopback-пакеты

7

1. Перехват пакетов – в callout-драйвере, используя Windows Filtering Platform

2. Разбора протоколов – внутри Wireshark (его придется немного модифицировать)

3. Управлять драйвером – через IOCTL

Можно сделать лучше

8

Можно сделать лучше

wireshark.exe

dump.pcap

DeviceIoControl

WriteFile

ReadFileTCP/IP Stack

callout driver

thDumperPacket

Block

Inject

9

#who | grep “DSecRG”

Подразделение Digital Security:• Поиск уязвимостей• Написание эксплоитов• Написание статей и книг

Направления работы:• Безопасность SAP/ERP/Oracle• Методы эксплуатации, обход защит• Защищенность банковского ПО

10

#who | grep “NetworkProfi”

• Разработка продукта Lanagent• Логгирование действий пользователя• Перехват icq, почты• Мониторинг подключаемых устройств• Скриншоты, нажатия клавиш, etc..

11

Вопросы?

isciurus@gmail.com