evading deep inspection for fun and shell who we are
play

EVADING DEEP INSPECTION FOR FUN AND SHELL Who we are - PowerPoint PPT Presentation

Nov 20, 2023 •445 likes •1.02k views

EVADING DEEP INSPECTION FOR FUN AND SHELL Who we are Olli-Pekka Niemi An; Levomki Chief Research Officer, Senior Vulnerability Stoneso9

  1. EVADING ¡DEEP ¡INSPECTION ¡FOR ¡ FUN ¡AND ¡SHELL ¡

  2. Who ¡we ¡are ¡ • Olli-­‑Pekka ¡Niemi ¡ • An; ¡Levomäki ¡ – Chief ¡Research ¡Officer, ¡ – Senior ¡Vulnerability ¡ Stoneso9 ¡ Analyst, ¡Stoneso9 ¡

  3. Agenda ¡ • IntroducEon ¡to ¡evasions ¡ • Previous ¡research ¡ • Evasions ¡explained ¡ • Evasion ¡tesEng ¡methodology ¡ ¡ • Results ¡ ¡

  4. IPS, ¡NGFW, ¡what? ¡ • Network ¡intrusion ¡prevenEon ¡systems ¡(IPS) ¡ ¡ – middleboxes ¡used ¡to ¡protect ¡hosts ¡and ¡services ¡ – analyze ¡network ¡traffic ¡and ¡aNempt ¡to ¡alert ¡and ¡ terminate ¡connecEons ¡that ¡are ¡deemed ¡harmful. ¡ • Next ¡GeneraEon ¡Firewalls ¡(NGFW) ¡ – Firewalls ¡with ¡built ¡in ¡IPS ¡funcEonaliEes ¡ • We ¡treat ¡NGFW ¡as ¡IPS ¡in ¡this ¡presentaEon ¡

  5. • Intrusion ¡PrevenEon ¡Systems ¡should ¡ ¡protect ¡ vulnerable ¡hosts ¡from ¡remote ¡exploits ¡ • Exploits ¡can ¡apply ¡mulEple ¡evasion ¡methods ¡ to ¡bypass ¡the ¡detecEon ¡capabiliEes ¡of ¡the ¡IPS ¡ and ¡break ¡into ¡the ¡remote ¡protected ¡host ¡

  6. What? ¡

  7. Should ¡vs ¡Must ¡ • Successful ¡traffic ¡analysis ¡requires ¡that ¡the ¡IPS ¡ device ¡interprets ¡traffic ¡in ¡the ¡same ¡way ¡as ¡ the ¡host ¡it ¡is ¡protecEng ¡ – TCP/IP ¡protocols ¡and ¡applicaEon ¡protocols ¡on ¡top ¡ of ¡TCP/IP ¡are ¡rich ¡in ¡features. ¡ – there ¡is ¡a ¡large ¡gap ¡between ¡how ¡protocols ¡should ¡ be ¡used ¡and ¡how ¡they ¡can ¡be ¡used ¡

  8. Why ¡ • The ¡reason ¡that ¡evasions ¡work ¡is ¡the ¡old ¡ robustness ¡principle ¡stated ¡by ¡Jon ¡Postel ¡in ¡ RFC793 ¡ ¡ ¡ ¡ ¡“be ¡conservaEve ¡in ¡what ¡you ¡do, ¡ ¡ ¡ ¡ ¡be ¡liberal ¡in ¡what ¡you ¡accept ¡from ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡others”. ¡ ¡

  9. • We ¡call ¡deliberately ¡sending ¡traffic ¡in ¡a ¡way ¡ that ¡is ¡difficult ¡to ¡analyze ¡by ¡a ¡middlebox ¡an ¡ evasion ¡technique ¡ ¡

  10. • Aren’t ¡evasions ¡just ¡some ¡protocol ¡anomalies ¡ or ¡malicious ¡packets… ¡ ¡ …that ¡can ¡be ¡dropped ¡by ¡the ¡IPS? ¡ •

  11. • No. ¡Some ¡evasions ¡can ¡be ¡classified ¡as ¡an ¡ aNack, ¡but ¡most ¡evasions ¡are ¡simply ¡ alternaEve ¡ways ¡of ¡encoding ¡data. ¡

  12. • Evasion ¡is ¡evasion ¡only ¡when ¡applied ¡with ¡ aNack. ¡Blocking ¡connecEons ¡based ¡on ¡a ¡ potenEal ¡evasion ¡without ¡normalizing ¡cause ¡ false ¡posiEves ¡

  13. • Most ¡of ¡IPS ¡devices ¡are ¡throughput ¡oriented ¡ by ¡design. ¡Evasions ¡work ¡because ¡ – the ¡IPS ¡devices ¡are ¡lacking ¡proper ¡understanding ¡ and ¡analysis ¡of ¡the ¡protocol. ¡ – TCP/IP ¡reassembly ¡implementaEon ¡shortcuts ¡to ¡ favor ¡packet ¡throughput ¡ – design ¡flaws ¡or ¡missing ¡features ¡

  14. • Have ¡evasions ¡been ¡researched ¡before? ¡ – Yes. ¡ ¡A ¡lot. ¡

  15. Academic ¡Research ¡ • Ptacek, ¡Newsham: ¡“InserEon, ¡Evasion, ¡and ¡Denial ¡of ¡Service: ¡ Eluding ¡Network ¡Intrusion ¡DetecEon”, ¡1998. ¡ • Raffael ¡Marty, ¡Thor ¡– ¡A ¡tool ¡to ¡test ¡intrusion ¡detecEon ¡systems ¡by ¡ variaEon ¡of ¡aNacks, ¡2002 ¡ • A. ¡Samuel ¡Gorton ¡and ¡Terrence ¡G. ¡Champion, ¡Combining ¡Evasion ¡ Techniques ¡to ¡Avoid ¡Network ¡Intrusion ¡DetecEon ¡Systems, ¡2004 ¡ • Giovanni ¡Vigna ¡William ¡Robertson ¡Davide ¡Balzaro; ¡: ¡TesEng ¡ Network-­‑based ¡Intrusion ¡DetecEon ¡Signatures ¡Using ¡Mutant ¡ Exploits, ¡2004 ¡ ¡ • Shai ¡Rubin, ¡Somesh ¡Jha, ¡and ¡Barton ¡P. ¡Miller: ¡AutomaEc ¡ GeneraEon ¡and ¡Analysis ¡of ¡NIDS ¡ANacks, ¡2004 ¡ ¡ ¡ • Varghese, ¡et ¡al., ¡DetecEng ¡Evasion ¡ANacks ¡at ¡High ¡Speeds ¡without ¡ Reassembly, ¡Sigcomm, ¡2006. ¡

  16. Hacker ¡Research ¡ • Horizon, ¡DefeaEng ¡Sniffers ¡and ¡Intrusion ¡DetecEon ¡ Systems, ¡Phrack ¡Magazine ¡ ¡Issue ¡54, ¡1998, ¡arEcle ¡10 ¡of ¡ 12. ¡ • Rain ¡Forest ¡Puppy: ¡A ¡look ¡at ¡whisker's ¡anE-­‑IDS ¡tacEcs, 1999 ¡ • NIDS ¡Evasion ¡Method ¡named ¡"SeolMa", ¡Phrack ¡57, ¡ Phile ¡0x03, ¡2001 ¡ • Daniel ¡J. ¡Roelker ¡, ¡HTTP ¡IDS ¡Evasions ¡Revisited, ¡2003 ¡ • Brian ¡Caswell, ¡H ¡D ¡Moore, ¡ThermopEc ¡ Camouflage:Total ¡IDS ¡Evasion, ¡BlackHat, ¡2006 ¡ ¡ ¡ • Renaud ¡Bidou: ¡IPS ¡Shortcomings, ¡BlackHat ¡2006 ¡

  17. Tools ¡ • Fragroute(r) ¡by ¡Dug ¡Song ¡~1999 ¡ • Robert ¡Graham: ¡SideStep, ¡2000 ¡ • Rain ¡Forest ¡Puppy: ¡Whisker, ¡libwhisker ¡ • Raffael ¡Marty: ¡Thor, ¡2002 ¡ • Metasploit ¡Framework ¡ • Immunity ¡Canvas ¡ • Core ¡Impact ¡ • Breaking ¡Point ¡ • Libnet ¡ • Scapy ¡ • Tcpreplay ¡ ¡ • Karalon ¡

  18. • So ¡Why ¡do ¡evasions ¡sEll ¡work? ¡

  19. • Evasion ¡detecEon ¡and ¡normalizaEon ¡is ¡difficult ¡ • Reduce ¡throughput ¡ ¡ • Anomaly ¡based ¡evasion ¡prevenEon ¡false ¡posiEves ¡ • Throughput-­‑wise ¡effecEve ¡packet ¡based ¡paNern ¡ matching ¡miss ¡aNacks ¡deploying ¡evasions ¡ • Proper ¡TCP/IP ¡reassembly ¡requires ¡a ¡lot ¡of ¡ memory ¡

  20. The ¡Problem ¡of ¡Stream ¡Reassembly ¡ • IPS ¡does ¡not ¡know ¡whether ¡a ¡packet ¡seen ¡ ¡ reaches ¡the ¡desEnaEon ¡ – Packet ¡loss ¡may ¡have ¡occurred ¡ – Packet ¡will ¡be ¡discarded ¡by ¡the ¡desEnaEon ¡ Packet ¡loss? ¡ ANacker ¡

  21. The ¡Problem ¡of ¡Stream ¡Reassembly ¡ • The ¡IPS ¡knows ¡that ¡a ¡packet ¡reached ¡the ¡ desEnaEon ¡when ¡it ¡receives ¡ acknowledgement ¡from ¡the ¡desEnaEon ¡ ¡ ACK ¡ ANacker ¡

  22. The ¡Problem ¡of ¡Stream ¡Reassembly ¡ • The ¡aNacker ¡may ¡cra9 ¡a ¡packet ¡that ¡will ¡be ¡dropped ¡by ¡the ¡ desEnaEon, ¡while ¡the ¡IPS ¡is ¡fooled ¡to ¡classify ¡this ¡as ¡normal ¡ (packet ¡loss) ¡ • The ¡aNacker ¡will ¡then ¡send ¡the ¡malicious ¡packet ¡that ¡the ¡IPS ¡ will ¡pass ¡along ¡as ¡a ¡retransmission ¡ ¡ – There ¡are ¡mulEple ¡ways ¡of ¡doing ¡this: ¡ • TTL/IP ¡opEons/TCP ¡opEons/checksums ¡ ANacker ¡

  23. ALack ¡Strategy ¡ • At ¡the ¡point ¡of ¡triggering ¡the ¡vulnerability, ¡cra9 ¡a ¡ packet ¡that ¡is ¡not ¡malicious ¡looking ¡and ¡will ¡not ¡ exploit ¡the ¡target ¡ • The ¡ ¡packet ¡will ¡be ¡dropped ¡by ¡the ¡target ¡ • IPS ¡does ¡not ¡know ¡that ¡ • Send ¡the ¡packet ¡that ¡will ¡compromise ¡the ¡target. ¡ ¡ • IPS ¡treat ¡this ¡packet ¡as ¡a ¡resend ¡due ¡to ¡packet ¡ loss ¡and ¡passes ¡the ¡packet ¡ • Enjoy ¡shell ¡(IPS ¡does ¡not ¡log ¡anything) ¡

  24. Proper ¡MiNgaNon ¡ • IPS ¡must ¡keep ¡every ¡unacked ¡packet ¡in ¡ memory ¡to ¡avoid ¡being ¡evaded ¡ – It ¡seems ¡that ¡most ¡do ¡not, ¡or ¡at ¡least ¡the ¡ implementaEon ¡is ¡faulty ¡

  25. EVASIONS ¡EXPLAINED ¡

  26. TCP ¡SegmentaNon ¡and ¡Reordering ¡ • Payload ¡can ¡be ¡split ¡into ¡segments ¡of ¡arbitrary ¡ size ¡ ¡ • Segments ¡can ¡be ¡sent ¡in ¡any ¡order ¡ • Too ¡many ¡small ¡TCP ¡segments ¡might ¡lead ¡into ¡ anomaly ¡based ¡connecEon ¡terminaEon. ¡Apply ¡ segmentaEon ¡only ¡when ¡actually ¡triggering ¡ the ¡vulnerability ¡and/or ¡to ¡the ¡shellcode ¡ – Most ¡boxes ¡are ¡sEll ¡vulnerable ¡to ¡this ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

BlindBox: Deep Packet Inspection Over Encrypted Traffic Justine Sherry, Chang Lan, Raluca Ada

BlindBox: Deep Packet Inspection Over Encrypted Traffic Justine Sherry, Chang Lan, Raluca Ada

BlindBox: Deep Packet Inspection Over Encrypted Traffic Justine Sherry, Chang Lan, Raluca Ada Popa, Sylvia Ratnasamy UC Berkeley (Work under submission). Intrusion Prevention Deep Packet Inspection Parental Filtering (DPI) In-network

851 views • 42 slides
SymTCP: Eluding Stateful Deep Packet Inspection with Automated Discrepancy Discovery Zhongjie Wang

SymTCP: Eluding Stateful Deep Packet Inspection with Automated Discrepancy Discovery Zhongjie Wang

SymTCP: Eluding Stateful Deep Packet Inspection with Automated Discrepancy Discovery Zhongjie Wang , Shitong Zhu, Yue Cao, Zhiyun Qian, Chengyu Song, Srikanth Krishnamurthy, Kevin Chan, and Tracy Braun What is DPI (Deep Packet Inspection)?

205 views • 19 slides
Leveraging Traffic Repetitions for High-Speed Deep Packet Inspection INFOCOM 2015 Paper #54 used

Leveraging Traffic Repetitions for High-Speed Deep Packet Inspection INFOCOM 2015 Paper #54 used

Leveraging Traffic Repetitions for High-Speed Deep Packet Inspection INFOCOM 2015 Paper #54 used to enhance the scanning process. Specifically, even if the Abstract Deep Packet Inspection (DPI) plays a major role in contemporary networks, and

479 views • 9 slides
Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship Zhongjie Wang , Yue

Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship Zhongjie Wang , Yue

Your State is Not Mine: A Closer Look at Evading Stateful Internet Censorship Zhongjie Wang , Yue Cao, Zhiyun Qian, Chengyu Song, Srikanth V Krishnamurthy University of California, Riverside 1 Internet Censorship Key technology: Deep Packet

528 views • 33 slides
Deep Argument Inspection Linux Plumbers Conference 2019 Kees Cook <keescook@chromium.org>

Deep Argument Inspection Linux Plumbers Conference 2019 Kees Cook <keescook@chromium.org>

Deep Argument Inspection Linux Plumbers Conference 2019 Kees Cook <keescook@chromium.org> Christian Brauner <christian.brauner@ubuntu.com> https://outflux.net/slides/2019/lpc/deep-arg-inspection.pdf use cases programmatic

376 views • 11 slides
What is Bash Shell Scripting? A shell script is a script written for the shell, or command

What is Bash Shell Scripting? A shell script is a script written for the shell, or command

What is Bash Shell Scripting? A shell script is a script written for the shell, or command line interpreter, of an operating system. The shell is often considered a simple domain-specific programming language . Typical operations

802 views • 15 slides
Optimal Evading Strategies and Task Allocation in Multi-Pursuer Single-Evader Problems Venkata

Optimal Evading Strategies and Task Allocation in Multi-Pursuer Single-Evader Problems Venkata

Motivation Optimal Evading Strategies Active/Redundant Pursuers Simulations Optimal Evading Strategies and Task Allocation in Multi-Pursuer Single-Evader Problems Venkata Ramana Makkapati and Panagiotis Tsiotras Dynamics and Control Systems

526 views • 27 slides
Spicy: A Unified Deep Packet Inspection Framework Dissecting All Your Data Robin Sommer

Spicy: A Unified Deep Packet Inspection Framework Dissecting All Your Data Robin Sommer

Spicy: A Unified Deep Packet Inspection Framework Dissecting All Your Data Robin Sommer International Computer Science Institute, & Corelight, Inc. robin@icsi.berkeley.edu robin@corelight.io http://www.icir.org/robin Deep Packet

931 views • 68 slides
DEEP PACKET INSPECTION AND VISUAL ANALYTICS More Info: www.bramcappers.nl 1 of 5 Advanced

DEEP PACKET INSPECTION AND VISUAL ANALYTICS More Info: www.bramcappers.nl 1 of 5 Advanced

Bram C.M. Cappers Jarke J. van Wijk b.c.m.cappers@tue.nl j.j.v.wijk@tue.nl SEMANTIC NETWORK TRAFFIC ANALYSIS USING DEEP PACKET INSPECTION AND VISUAL ANALYTICS More Info: www.bramcappers.nl 1 of 5 Advanced Persistent Threats (APTs)

240 views • 5 slides
Bourne (Again) Shell CIS 218 Bourne Again Shell Current GNU LINUX BASH Shell documentation:

Bourne (Again) Shell CIS 218 Bourne Again Shell Current GNU LINUX BASH Shell documentation:

Bourne (Again) Shell CIS 218 Bourne Again Shell Current GNU LINUX BASH Shell documentation: http://www.gnu.org/software/bash/manual/bashref.html Bash is an acronym for Bourne - Again SHell. The Bourne shell is the traditional

947 views • 37 slides
RVI DACON INSPECTION TECHNOLOGIES INSPECTION Who we are Conventional and Oil and Gas,

RVI DACON INSPECTION TECHNOLOGIES INSPECTION Who we are Conventional and Oil and Gas,

RVI DACON INSPECTION TECHNOLOGIES INSPECTION Who we are Conventional and Oil and Gas, Refinery, Over 400 personnel Thailand headquarters Advanced NDT and Petrochemical, Heavy including more than with International Inspection Services

427 views • 11 slides
Three-Level Deep Packet Inspection Jianghai LI, Wen Si, Xiaojin Huang Institute of Nuclear Energy

Three-Level Deep Packet Inspection Jianghai LI, Wen Si, Xiaojin Huang Institute of Nuclear Energy

CPS-SR CPS-IoT Week 2019 April 15 - 18, 2019 Montreal, Canada Intrusion Detection of Networked Cyber-Physical Systems via Three-Level Deep Packet Inspection Jianghai LI, Wen Si, Xiaojin Huang Institute of Nuclear Energy Technology (INET)

611 views • 32 slides
Active Probing and Deep Packet Inspection detection resistant tunneling through HTTPS connections

Active Probing and Deep Packet Inspection detection resistant tunneling through HTTPS connections

Chair for Network Architectures and Services Technical University of Munich (TUM) Active Probing and Deep Packet Inspection detection resistant tunneling through HTTPS connections Intermediate Talk Julien Schmidt May 30, 2016 Chair for

384 views • 16 slides
More Linux Shell Scripts Fundamentals of Computer Science Outline Shells and Shell

More Linux Shell Scripts Fundamentals of Computer Science Outline Shells and Shell

More Linux Shell Scripts Fundamentals of Computer Science Outline Shells and Shell Scripts Shell Variables and the Environment Simple Shell Scripting More Advanced Shell Scripting Start-up Shell Scripts Shells and Shell

367 views • 17 slides
HMIP Inspection Derbys Experience AYM 3.4.19. HMIP Inspection New HMIP inspection cycle

HMIP Inspection Derbys Experience AYM 3.4.19. HMIP Inspection New HMIP inspection cycle

HMIP Inspection Derbys Experience AYM 3.4.19. HMIP Inspection New HMIP inspection cycle implemented from June 2018. Derby YOS first YJ partnership to be inspected in England and Wales. Fieldwork commenced 18.6.18. 2 weeks of

276 views • 6 slides
CSCE 625: Artificial Intelligence Dr. Dylan Shell 1 Shell CSCE 625 TAMU 2 Shell CSCE 625 TAMU

CSCE 625: Artificial Intelligence Dr. Dylan Shell 1 Shell CSCE 625 TAMU 2 Shell CSCE 625 TAMU

Shell CSCE 625 TAMU CSCE 625: Artificial Intelligence Dr. Dylan Shell 1 Shell CSCE 625 TAMU 2 Shell CSCE 625 TAMU 3 Shell CSCE 625 TAMU 4 Shell CSCE 625 TAMU Pay attention to this: https://www.youtube.com/watch?v=vJG698U2Mvo 5 Shell

352 views • 8 slides
the NMR Waiver Process First Wednesday Virtual Learning Series 2018 www.sba.gov 1 Hosts Jan

the NMR Waiver Process First Wednesday Virtual Learning Series 2018 www.sba.gov 1 Hosts Jan

Understanding the Nonmanufacturer Rule (NMR) and the NMR Waiver Process First Wednesday Virtual Learning Series 2018 www.sba.gov 1 Hosts Jan Kaiser, Procurement Center Representative SBA Office of Government Contracting, Area IV, Chicago

1.15k views • 55 slides
Logical and Physical Restructuring of Fan-in Trees Hua Xiang Haoxing Ren Louise Trevillyan

Logical and Physical Restructuring of Fan-in Trees Hua Xiang Haoxing Ren Louise Trevillyan

Logical and Physical Restructuring of Fan-in Trees Hua Xiang Haoxing Ren Louise Trevillyan Lakshmi Reddy + Ruchir Puri Minsik Cho I BM T.J. Watson Research Center + I BM EDA Lab. STG Introduction As feature sizes shrink and design

164 views • 14 slides
HUBZone Certification Application Workshop September 15, 2020 Lo Logistics cs All audio

HUBZone Certification Application Workshop September 15, 2020 Lo Logistics cs All audio

Funded by the Office of Economic Adjustment in the Department of Defense HUBZone Certification Application Workshop September 15, 2020 Lo Logistics cs All audio will stream through your computer speakers. Please submit your questions

1.05k views • 90 slides
Lake Hood Regulation Review Overview LHD Governance Review Focus

Lake Hood Regulation Review Overview LHD Governance Review Focus

Lake Hood Regulation Review Overview LHD Governance Review Focus Some User Inputs Review Schedule Alex Moss, AIAS Planning Manager alex.moss@alaska.gov 266-2540 Oct 14, 2016 Integrity

313 views • 6 slides
DSAM lifetime measurements at ReA - from stable Sn to exotic Ca Hiro IWASAKI (NSCL/MSU)

DSAM lifetime measurements at ReA - from stable Sn to exotic Ca Hiro IWASAKI (NSCL/MSU)

DSAM lifetime measurements at ReA - from stable Sn to exotic Ca Hiro IWASAKI (NSCL/MSU) 8/20/2015 ReA3 upgrade workshop 1 Evolution of halo properties N>40 gds-shell E0,E? Efimov? 62 Ca? N=28 pf-shell deformation? N=20 sd-shell 31

382 views • 16 slides
Computer Graphics Seminar MTAT.03.305 Fall 2017 Raimond Tunnel Contact Information Raimond

Computer Graphics Seminar MTAT.03.305 Fall 2017 Raimond Tunnel Contact Information Raimond

Computer Graphics Seminar MTAT.03.305 Fall 2017 Raimond Tunnel Contact Information Raimond Tunnel jee7@ut.ee Organizational Information 16 seminars: 3 introductory lectures 8 student presentations 2? special events 1

978 views • 62 slides
Rcpp: Seamless R and C++ Dirk Eddelbuettel Romain Franois edd@debian.org

Rcpp: Seamless R and C++ Dirk Eddelbuettel Romain Franois edd@debian.org

Rcpp: Seamless R and C++ Dirk Eddelbuettel Romain Franois edd@debian.org romain@r-enthusiasts.com useR! 2010 , 21 July 2010, NIST, Gaithersburg, Maryland, USA Fine for Indiana Jones Le viaduc de Millau Background API Sugar Modules Plat

532 views • 31 slides
Understanding the Learners Actions when using Mathematics Learning Tools Wolfgang Mller

Understanding the Learners Actions when using Mathematics Learning Tools Wolfgang Mller

Understanding the Learners Actions when using Mathematics Learning Tools Wolfgang Mller Paul Libbrecht PH Weingarten CERMAT PH Karlsruhe Daniel Herding RWTH Aachen Sandra Rebholz Felix Tscheulin PH Weingarten PH Weingarten

476 views • 35 slides

More recommend