Методы обхода хвостовых систем обнаружения вторжений

Программное обеспечение хостовой СОВ может функционировать на различных уровнях. Некоторые системы контролируют целостность важных файлов, другие контролируют сетевые соединения, входные строки и системную память на наличие сигнатур.

Системы контроля файлов, такие как Tripwire, могут в свою очередь, создавать проблемы. Контроль каждого файла может привести к появлению значительно числа ложных тревог, кроме того, не все атаки модифицируют файлы. Для, хостовых СОВ обычно используются комбинации обнаружения аномалий и обнаружения сигнатур. Одним из основных для хостовых СОВ является вопрос: если хост будет скомпрометирован, то как удержать нарушителя от манипулирования с элементами СОВ для предотвращения обнаружения атаки? Основными методами для этого являются:

• 1) контроль расположения и целостности файлов;
• 2) сбивание с толку;
• 3) вставка нулевого знака в запрос после указания метода;
• 4) перехват расположения.

Контроль расположения и целостности файлов — большинство известных методов обхода хостовых СОВ работают против систем обнаружения сигнатур. Большое число СОВ, использующих контроль файлов, используют алгоритм MD5 или его варианты.

Теоретически два разных файла могут иметь одно и то же хэш-значение, но подбор соответствующего файла требует громадных вариантов затрат времени и ресурсов. Кроме того, база данных хэш-значений обычно защищена паролем или зашифрована отдельным ключом. В этом случае атакующий может использовать слабости в методе контроля файлов. Для большинства систем контроля указываются директории, файлы в которых не проверяются. Поэтому такие директории могут использоваться для обхода систем обнаружения. когда нарушитель скомпрометирует систему, контроля файлов или перечислить значения хэш-функции для измененных файлов и других директориях.

Атакующий может заменить программы, которые загружаются при старте системы, так как большинство хостовых СОВ контролирует файлы и скрипты загрузки.

Основной проблемой при контроле файлов является то, что система генерирует тревогу, когда вторжение уже произошло.

Сбивание с толку — это достаточно широко используемый метод, поскольку он работает и против сетевых, и протеев хостовых СОВ.

Приведенные примеры показывают одно и то же физическое расположение файла. Код / указывает на текущую директорию, поэтому можно добавлять любое их число. Код ||| обычно интерпретируется приложением как один слеш, поскольку имя директории не может быть NUUL. Аннулирование обхода более сложно, так как позволяет перемещается по дереву директории и при использовании …/ команды перехода в предыдущую директорию позволяет вернутся в начальное положение. Эти методы могут сделать путь вторжения достаточно длинным, что не позволит СОВ обнаружить атаку.

Случай, когда можно декларировать переменные или осуществлять сравнение, более серьезен. Обычно это возможно для внутренних пользователей, которые уже имеют доступ к системе. В этом случае атакующий может модифицировать сигнатуру, но, когда псевдоним выполняется, они удаляются и файл паролей высвечивается. Чтобы обнаружить подобные атаки, СОВ должна интерпретировать команды аналогично командному интерпретатору. Команды интерпретатора приведены выше.

Тот же подход может быть использован, если система допускает сравнение. Все, что нужно атакующему, это добавить сравнение, которое всегда истинно, что модифицирует сигнатуру и может позволить обмануть СОВ. Этот метод часто используется в атаках SQL-вставок. Теоретически все приведены методы срабатывают для приложений, базируются на текстах, таких как SNMP, SMTP, SQL запросы или telnet.

Рассмотрим методы, которые работают только с запросами HTTP, так кК предназначены для манипулирования с запрашиваемыми страницами. Рассмотрим нормальный HTTP — запрос:

GET/pages/index.cc HTTP/1.0.

Header:…

В этом запросе четыре компонента, разделенных проблемами. Компонент GET — это метод, который «говорит» серверу, что мы передаем или получаем информацию. Компонент /pages/index. Htm есть URL, который говорит Web — серверу, чего мы хотим. Компонент HTTP/1.0- номер версии HTTP, которую мы используем. Все после этого компонента является дополнительной информацией.

При вставке нулевого знака в запрос после указания метода хостовая СОВ будет видеть пустой GETзапрос, но некоторые серверы воспринимают эту строку иначе. Другой метод состоит в замене пробела в каждой части запроса табуляцией. Большинство Web — серверов сжимают проблемы и возвращают значение, но сигнатурные хостовые СОВ могут не распознать разделителя и не сгенерировать тревогу. Скрытие параметров в запросе основывается, но том обстоятельстве, что хостовая СОВ может не проводить контроль параметров для повышения производительности. Так как параметры будут различными для разных систем, сигнатурой метод может давать много ложных срабатываний. В приведенном примере главное находится после знака вопроса и может не вызвать генерацию тревоги.

Перехват приложения достаточно сложен, поэтому немногие хостовые СОВ могут его обнаружить. Сетевые СОВ обычно не рассматривают прикладной уровень, чтобы увидеть, что сеанс продолжен другими источниками.

Перехват приложений обычно формируется следующим образом. Пользователь начинает законный процесс. Атакующий, определив это, делает невозможным продолжение работы машины законного пользователя и присваивает его атрибуты аутерификации. При использовании протокола без состояний атакующему не нужно ограничивать законного пользователя, ему необходимо только иметь перехваченную метку сеанса. Это может быть достигнуто применением программ перехода на другой сайт или атакой машины, содержащий метки сеанса.

Другим вариантом является метод «человек посередине». В этом случае атакующий претендует представить законным пользователем для сервера и сервером для законного пользователя. После чего атакующий может модифицировать сеанс, чтобы не быть обнаруженным. Хостовые СОВ сконструированы для защиты ОС хоста, а не приложений или сетевых интерфейсов, поэтому могут обрабатывать приложения некорректно. Сетевые СОВ могут обнаружить подобные атаки, но большинство из них не исследует все данные сеанса, например, чтобы контролировать правильность последовательных вариантов.