Netzwerk-Grundlagen – Angriffserkennung, Teil 1

Eigenschaften von Netzwerk-Attacken wie DoS, XSS und Buffer Overflows

26.08.2010 | Autor / Redakteur: Markus Nispel, Enterasys / Stephan Augsten

Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die
Fingerzeig: Ein Angriff aufs Netzwerk lässt sich nur abwehren, wenn man ihn richtig einordnen kann., wenn man um die

Framework-gestützte Angriffe

Vor einigen Jahren setzten Stack- oder Heap-basierende Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine Vielzahl teils freier Frameworks, die das Ausführen eines Schadprogramms per Knopfdruck ermöglichen.

Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die Möglichkeit, die dynamischen Parameter einer Attacke per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen des Angriffs enorm gesenkt. Cyber-Kriminelle, die keine oder nur rudimentäre Programmierkenntnisse besitzen und deshalb entsprechende Tools nutzen, werden als Script-Kiddies bezeichnet.

Zumeist erstellen die Tools einen Exploit, der sich in die folgenden Unterteile aufgliedern lässt:

Socket-Aufbau: Bevor der Angriffscode übermittelt werden kann, muss eine Netzwerkverbindung zum Zielsystem aufgebaut werden.

Shell Code / Angriffscode: Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei diesen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs (No-Operation-Instruktionen) über das Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOP-Sledge.

Informationsaufbereitung: Sobald der Angriffscode übermittelt wurde, werden die daraus resultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für den User aufbereitet.

Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, gezielt sind und sich somit von den automatisierten Angriffen unterscheiden, müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende Merkmale auffällig:

  • Große NOP-Bereiche
  • Oftmaliges Übermitteln des Angriffscodes (da diese die Rücksprungadresse enthält)
  • Auffällige Offsets
  • Standard Shell Code
  • Unsauberes Beenden des angegriffenen Programms (kein exit(0) innerhalb des Shell Codes)

Diese Angriffe lassen sich am besten durch signaturbasierte Systeme erkennen.

Inhalt

 

Über Enterasys Networks

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046770 / Sicherheitslücken)