looking for ghosts in the machine
play

Looking for Ghosts in the Machine Scott Campbell Security Analyst - PowerPoint PPT Presentation

Jan 18, 2024 •151 likes •845 views

Looking for Ghosts in the Machine Scott Campbell Security Analyst August 10, 2015 - 1 - Network Monitoring Limitations There are issues for a fully network centric analysis:

  1. Looking for Ghosts in the Machine Scott Campbell � Security Analyst August ¡10, ¡2015 ¡ -­‑ ¡1 ¡-­‑ ¡

  2. Network Monitoring Limitations There ¡are ¡issues ¡for ¡a ¡fully ¡network ¡centric ¡analysis: ¡ • Increasing ¡encryp=on ¡of ¡transport ¡layer(s) ¡– ¡think ¡ HTTP ¡2.x ¡encrypted ¡by ¡default. ¡ • Ac=vity ¡on ¡systems ¡that ¡has ¡nothing ¡to ¡do ¡with ¡the ¡ network. ¡ • AIacks ¡derived ¡on ¡the ¡ applica&on ¡layer ¡rela=ng ¡to ¡ internal ¡state. ¡ ¡ -­‑ ¡2 ¡-­‑ ¡

  3. Host Based IDS Look ¡at ¡the ¡following ¡projects ¡to ¡address ¡some ¡of ¡ there ¡limita=ons ¡ ¡ • iSSHD ¡ • Auditd ¡ • Object ¡Abstrac=on: ¡More ¡appropriate ¡primi=ve ¡for ¡ holding ¡detailed ¡informa=on. ¡ ¡ -­‑ ¡3 ¡-­‑ ¡

  4. Instrumented SSHD -­‑ ¡4 ¡-­‑ ¡

  5. iSSHD: Background, circa 2007 6 ¡Major ¡plaQorms, ¡transi=on ¡to ¡100G ¡in ¡progress. ¡ > ¡4000 ¡users ¡worldwide. ¡ SSH ¡access ¡and ¡Shell ¡accounts ¡for ¡everyone! ¡ Passwords ¡are ¡primary ¡authen=ca=on. ¡ Highly ¡diverse ¡code ¡base. ¡ ¡ No ¡clear ¡idea ¡what ¡our ¡users ¡are ¡ really ¡doing... ¡ -­‑ ¡5 ¡-­‑ ¡

  6. iSSHD: Design Data ¡Normalized: ¡make ¡input ¡and ¡output ¡a ¡series ¡of ¡ well ¡defined ¡type:value ¡pairs. ¡ ¡ URI ¡Encode ¡all ¡user ¡supplied ¡data: ¡considered ¡hos=le ¡ binary ¡content ¡=ll ¡expressly ¡cleaned. ¡ ¡ Disconnect ¡data ¡flow, ¡logging ¡and ¡policy ¡applica=on. ¡ ¡ Metadata ¡is ¡valuable, ¡so ¡capture ¡it. ¡ ¡ Access ¡data ¡ transi&ng ¡ SSH ¡channels. ¡ -­‑ ¡6 ¡-­‑ ¡

  7. iSSHD: Internal Data Flow Look ¡at ¡data ¡flow ¡and ¡build ¡structure ¡around ¡it. ¡ -­‑ ¡7 ¡-­‑ ¡

  8. iSSHD: Solution Architecture Stunnel ¡ S ¡ Host ¡ S ¡ iSSHD ¡Instance ¡ Bro ¡ -­‑ ¡8 ¡-­‑ ¡

  9. iSSHD: Solution Architecture Stunnel ¡ S ¡ LOG ¡ Input ¡Framework ¡ INPUT ¡ reads ¡in ¡structured ¡ FRAME ¡ Host ¡ text ¡Log ¡file ¡and ¡ outputs ¡events ¡ Bro ¡ -­‑ ¡9 ¡-­‑ ¡

  10. iSSHD: Solution Architecture channel_data_client_3 time=1434153284.253513 uristring=NMOD_3.08 uristring=931154978%3Ahopper10%3A22 Stunnel ¡ count=102814571 count=0 uristring=ls � S ¡ LOG ¡ Input ¡Framework ¡ INPUT ¡ reads ¡in ¡structured ¡ FRAME ¡ Host ¡ text ¡Log ¡file ¡and ¡ outputs ¡events ¡ Bro ¡ -­‑ ¡10 ¡-­‑ ¡

  11. iSSHD: Solution Architecture event channel_data_client_3(ts: time, version: string, sid: string, cid: count, channel:count, data:string) � Stunnel ¡ { � S ¡ # general event for client data from � LOG ¡ # a typical login shell � local CR:client_record = test_cid(sid,cid); � � Input ¡Framework ¡ INPUT ¡ log_session_update_event(CR, ts, � reads ¡in ¡structured ¡ FRAME ¡ "CHANNEL_DATA_CLIENT_3", data); � Host ¡ text ¡Log ¡file ¡and ¡ } � outputs ¡events ¡ Bro ¡ -­‑ ¡11 ¡-­‑ ¡

  12. iSSHD: Solution Architecture Stunnel ¡ S ¡ LOG ¡ Bro ¡Core ¡process ¡ INPUT ¡ events, ¡logging ¡all ¡ FRAME ¡ Host ¡ the ¡data ¡and ¡ applying ¡policy ¡as ¡ BRO ¡ CORE ¡ defined. ¡ Bro ¡ -­‑ ¡12 ¡-­‑ ¡

  13. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ -­‑ ¡13 ¡-­‑ ¡

  14. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ -­‑ ¡14 ¡-­‑ ¡

  15. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ -­‑ ¡15 ¡-­‑ ¡

  16. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ • User ¡I/O: ¡data_client ¡(noIy), ¡data_server ¡(noIy), ¡ exec, ¡exec_pty, ¡exec_no_pty ¡ -­‑ ¡16 ¡-­‑ ¡

  17. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ • User ¡I/O: ¡data_client ¡(noIy), ¡data_server ¡(noIy), ¡ exec, ¡exec_pty, ¡exec_no_pty ¡ • SFTP: ¡most ¡func=onal ¡calls ¡recorded ¡ -­‑ ¡17 ¡-­‑ ¡

  18. iSSHD: Example #1 (client side) Example ¡#1: ¡Remote ¡shell ¡exec ¡ ¡(client ¡side) ¡ spork:RUN scottc$ ssh 10.10.10.10 sh –i � � sh-3.2$ id � id � uid=324(scottc) gid=10324(scottc) groups=10324(scottc) � sh-3.2$ exit � exit � � ¡ -­‑ ¡18 ¡-­‑ ¡

  19. iSSHD: Example #1 (server side) #1 ¡-­‑ ¡SSHD_CONNECTION_START ¡127.0.0.1:52344/tcp ¡-­‑> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡SSHD_CONNECTION_START ¡127.0.0.1_192.168.1.134_10.211.55.2_10.37.129.2 ¡ #1 ¡-­‑ ¡AUTH_KEY_FINGERPRINT ¡01:12:23:34:45:56:67:78:89:9a:ab:bc:cd:de:ef:ff ¡type ¡DSA ¡ #1 ¡-­‑ ¡AUTH ¡Postponed ¡scoIc ¡publickey ¡127.0.0.1:52344/tcp ¡> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡AUTH_KEY_FINGERPRINT ¡01:12:23:34:45:56:67:78:89:9a:ab:bc:cd:de:ef:ff ¡type ¡DSA ¡ #1 ¡-­‑ ¡AUTH ¡Accepted ¡scoIc ¡publickey ¡127.0.0.1:52344/tcp ¡> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡SESSION_NEW ¡SSH2 ¡ #1 ¡-­‑ ¡CHANNEL_NEW ¡[0] ¡server-­‑session ¡ #1 ¡-­‑ ¡SESSION_INPUT_CHAN_OPEN ¡server-­‑session ¡ctype ¡session ¡rchan ¡0 ¡win ¡2097152 ¡max ¡32768 ¡ #1 ¡-­‑ ¡CHANNEL_NEW ¡[1] ¡auth ¡socket ¡ #1 ¡0-­‑server-­‑session ¡SESSION_INPUT_CHAN_REQUEST ¡AUTH-­‑AGENT-­‑REQ@OPENSSH.COM ¡ #1 ¡0-­‑server-­‑session ¡SESSION_REMOTE_DO_EXEC ¡sh ¡-­‑i ¡ #1 ¡0-­‑server-­‑session ¡SESSION_REMOTE_EXEC_NO_PTY ¡sh ¡-­‑i ¡ #1 ¡0-­‑server-­‑session ¡SESSION_INPUT_CHAN_REQUEST ¡EXEC ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_CLIENT ¡id ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_SERVER ¡uid=32434(scoIc) ¡gid=32434(scoIc) ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_CLIENT ¡exit ¡ #1 ¡-­‑ ¡host ¡SESSION_EXIT ¡ #1 ¡0-­‑server-­‑session ¡CHANNEL_FREE ¡ #1 ¡1-­‑auth ¡socket ¡CHANNEL_FREE ¡ #1 ¡-­‑ ¡SSHD_CONNECTION_END ¡127.0.0.1:52344/tcp ¡-­‑> ¡0.0.0.0:22/tcp ¡ ¡ -­‑ ¡19 ¡-­‑ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of the Past Misconceptions, Misunderstandings & Myths 2. Lean Reawakening 3. Nurturing Lean Growth 2 New mention Ghosts of the

383 views • 26 slides
GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3

GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3

Quantifying the Faint Outskirts of GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3 g-band, Dragonfly array In Sung Jang (AIP) Roelof de Jong Benne Holwerda Antonela Monachesi Eric Bell Jeremy

298 views • 5 slides
People with Pain are like Ghosts None see them and None see their Disability WHO

People with Pain are like Ghosts None see them and None see their Disability WHO

There is an Epidemic Morbus named Chronic Pain But People with Pain are like Ghosts None see them and None see their Disability WHO declaration,1948 Health is not merely the absence of disease

265 views • 14 slides
WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our

WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our

WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our QuickBooks experts Becky Miller, Anne Becker, Lauren Brothen, and Christina Hess J AMES H AMLIN& C O .,P .C. CPAs & Business Advisors

473 views • 29 slides
Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny

Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny

Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny Lyndon brothers Nanee Aunt Clyde & Uncle Rufus Granny Bo Robertsons McCartneys Shorts, Hollidays, Floods, Maclin

1.08k views • 62 slides
http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical

http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical

http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical Physicist Fermilab Websters Online Dictionary Main Entry: neutrino Pronunciation: n-'trE-(")nO, ny- Etymology: Italian, from neutro

1.44k views • 88 slides
Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert.

Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert.

Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert. PhD. Clinical Psychologist Distinguished Scholar, Waikato University. The Adult the Child will Become We are a social animal Families are an

309 views • 16 slides
The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1

The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1

The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1 This research is generously supported by the John Templeton Foundation. Aim and Motivation AIM: To connect infinitesimals and computability. Aim and

1.2k views • 87 slides
WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum

WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum

WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum of Casa Grande Stacey Seaman, Director, BlackBox Foundation Excerpt from a presentation given at the Museum Association of Arizona conference May

486 views • 5 slides
In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement

In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement

In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement Robert Jackson-Paton, Ph.D. White Privilege Conference Seattle, WA 11 April 2013 rjacksonpaton@mac.com beingunsettled.us Finding ground

665 views • 21 slides
Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith,

Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith,

Comparing results from the GHOSTS survey and the Auriga simulations Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith, J. Bailin + GHOSTS team F . Gomez, R. Grand, V. Springel, G. Kau ff mann +

531 views • 20 slides
On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City

On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City

15:50-16:10, 9th Feb., GC2018 On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City University) ref. Rampei Kimura, YS, Masahide Yamaguchi Phys. Rev. D96 (2017) 044015, another paper in prep. WHY

855 views • 12 slides
and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners

and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners

CHARLES BURDETT UNIVERSITY OF DURHAM Transnational Italian Culture and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners Charles Burdett (Bristol); Jenny Burns (Warwick); Jacopo Colombini (St Andrews);

603 views • 48 slides
SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of

SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of

SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of Rochester Zhuojia Shen University of Rochester John Criswell University of Rochester

842 views • 33 slides
Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies

Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies

Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies that allow both wireless and wired systems to communicate with other devices Its the fastest growing Telecom market today It uses the existing

412 views • 27 slides
Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan

Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan

Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan Blanchard Nikolai Kosmatov June 29, 2018 @ Tests & Proofs 2018 0/21 - F.Loulergue, A.Blanchard, N.Kosmatov - June 29, 2018 Contents 01.

749 views • 31 slides
Unsinkable Faith doesnt mean I wont fall overboard. It means I know Jesus will catch me when

Unsinkable Faith doesnt mean I wont fall overboard. It means I know Jesus will catch me when

Unsinkable Faith doesnt mean I wont fall overboard. It means I know Jesus will catch me when I do! The Sea of Galilee MATTHEW 14: 22-33 NIV 22 Jesus made the disciples get into the boat and go on ahead of 22 him to the other side, while

619 views • 22 slides
Worry and fear MATTHEW 14:25-26 Shortly before dawn Jesus went out to them, walking on the lake.

Worry and fear MATTHEW 14:25-26 Shortly before dawn Jesus went out to them, walking on the lake.

Worry and fear MATTHEW 14:25-26 Shortly before dawn Jesus went out to them, walking on the lake. When the disciples saw him walking on the lake, they were terrifjed. Its a ghost, they said, and cried out in fear. MATTHEW 14:27 But

356 views • 14 slides
The Tension of the Advent Season At Christmas there is so much about which to feel happy and

The Tension of the Advent Season At Christmas there is so much about which to feel happy and

The Tension of the Advent Season At Christmas there is so much about which to feel happy and joyful. But Im not finding it that way! There are ghosts lurking behind the scenes stealing every bit of hope and joy that I have. Lifes issues

366 views • 18 slides
Positive Neuroplasticity: Mindfulness, Cultivation, and the End of Craving 3 rd Annual Congress:

Positive Neuroplasticity: Mindfulness, Cultivation, and the End of Craving 3 rd Annual Congress:

Positive Neuroplasticity: Mindfulness, Cultivation, and the End of Craving 3 rd Annual Congress: Spaces of Thought and Action in Psychology May 30, 2015 Rick Hanson, Ph.D. The Wellspring Institute for Neuroscience and Contemplative Wisdom 1

1.17k views • 69 slides
WELCOME TO MENS LIFE 2019-2020 Carl Hofmann Teaching Leader 1 2/18/2020 WELCOME TO

WELCOME TO MENS LIFE 2019-2020 Carl Hofmann Teaching Leader 1 2/18/2020 WELCOME TO

2/18/2020 WELCOME TO MENS LIFE 2019-2020 Carl Hofmann Teaching Leader 1 2/18/2020 WELCOME TO MENS LIFE 2019-2020 Carl Hofmann Teaching Leader Spiritual Formation Spiritual formation is the process of forming the inner world

92 views • 8 slides
Animate 2 Cor 10:5 5 We demolish arguments (mental strongholds) and every pretension (reasoning

Animate 2 Cor 10:5 5 We demolish arguments (mental strongholds) and every pretension (reasoning

Animate 2 Cor 10:5 5 We demolish arguments (mental strongholds) and every pretension (reasoning process) that sets itself up against the knowledge of God, and we take captive every thought to make it obedient to Christ. Spiritual Formation (1)

423 views • 25 slides
Water Walking Faith Peter Walking on Water Matthew 14:25-32, NIV During the fourth watch of the

Water Walking Faith Peter Walking on Water Matthew 14:25-32, NIV During the fourth watch of the

8/23/2016 Water Walking Faith Peter Walking on Water Matthew 14:25-32, NIV During the fourth watch of the night Jesus went out to them, walking on the lake. When the disciples saw him walking on the lake, they were terrified. Its a

377 views • 8 slides
Matthew 14:22-24 NIV 22 Immediately Jesus made the disciples get into the boat and go on ahead of

Matthew 14:22-24 NIV 22 Immediately Jesus made the disciples get into the boat and go on ahead of

Matthew 14:22-24 NIV 22 Immediately Jesus made the disciples get into the boat and go on ahead of him to the other side, while he dismissed the crowd. 23 After he had dismissed them, he went up on a mountainside by himself to pray. Later that

275 views • 25 slides

More recommend