[Zurück]


Vorträge und Posterpräsentationen (mit Tagungsband-Eintrag):

T. Toth, C. Krügel:
"Accurate Buffer Overflow Detection via Abstract Payload Execution";
Vortrag: RAID International Symposium on Recent Advances in Intrusion Detection 2002, Zürich, Switzerland; 16.10.2002 - 18.10.2002; in: "Recent Advances in Intrusion Detection", Springer-Verlag Berlin Heidelberg, (2002), ISBN: 3-540-00020-8; S. 274 - 291.



Kurzfassung deutsch:
Statische Buffer Overflow Attacken gehören zu den an meisten
gefürchteten und durchgeführten Attackem im heutigen Internet. Diese
Attacken zielen auf die Verwundbarkeit von Service-Prozessen ab,
welche wichtige Netzwerk-Services zur Verfügung stellen. Seitdem das
Hacken mit Buffer Overflow Attacken durch das Auftreten des Morris
Internet Wurms und durch den berühmten Artikel von AlephOne im
phrack Magazin allgemein bekannt geworden ist, werden täglich neue
Schwachstellen in Programmen entdeckt und missbraucht.

Derzeitige Intrusion Detection Systeme (IDS) gehen mit diesem
Problem auf unterschiedliche Arten um. Misuse basierte Netzwerk-IDS
versuchen die Signaturen von bekannten Attacken in der Nutzlast von
Netzwerkpaketen zu entdecken. Das kann aber durch einen fähigen
Hacker leicht verhindert werden, da der Code verändert, umgeordnet
und sogar teilweise verschlüsselt werden kann. Anomaly basierte
Netzwerksensoren vernachlässigen die Nutzlast von Paketen gänzlich
und analysieren nur Häufungen von Paketen, wodurch sie Buffer
Overflow Attacken nicht erkennen können. Host basierte
Anomaliesensoren überwachen das Verhalten von Prozessen und können
so eine erfolgreiche Attacke erkennen - allerdings nur im
Nachhinein, wenn die Attacke bereits durchgeführt worden ist.
Zusätzlich leiden beide anomaliebasierten Varianten unter einer
hohen false positive rate.

In diesem Artikel präsentieren wir einen Ansatz der Buffer Overflow
Code in der Nutzlast von Anfragen genauestens erkennt, indem nach
dem Schlitten der Attacke gesucht wird. Dieser wird dazu benutzt,
die Chancen einer erfolgreichen Attacke drastisch zu erhöhen, indem
ein langes Codesegment das nichts anderes tut als zum eigentlichen
Angriffscode zu führen, vor diesen gestellt wird. Obwohl der
Angreifer einige Möglichkeiten hat, den Angriffscode zu
verschleiern, hat dieser dennoch vom Prozessor ausführbar zu sein.
Wir führen Abstrakte Exekution der Nutzlast durch um solche
Sequenzen von ausführbarem Code mit nahezu keinen false positives zu
entdecken.

Kurzfassung englisch:
Static buffer overflow exploits belong to the most feared and
frequently launched attacks on todays Internet. These exploits
target vulnerabilities in daemon processes which provide important
network services. Ever since the buffer overflow hacking technique
has reached a broader audience due to the Morris Internet worm in
1988 and the infamous paper by AlephOne in the phrack magazine, new
weaknesses in many programs have been discovered and abused.

Current intrusion detection systems (IDS) address this problem in
different ways. Misuse based network IDS attempt to detect the
signature of known exploits in the payload of the network packets.
This can be easily evaded by a skilled intruder as the attack code
can be changed, reordered or even partially encrypted. Anomaly based
network sensors neglect the packet payload and only analyze bursts
of traffic thus missing buffer overflows altogether. Host based
anomaly detectors that monitor process behavior can notice a
successful exploit but only a-posteriori when it has already been
successful. In addition, both anomaly variants suffer from high
false positive rates.

In this paper we present an approach that accurately detects buffer
overflow code in the request's payload by concentrating on the
sledge of the attack. The sledge is used to increase the chances of
a successful intrusion by providing a long code segment that simply
moves the program counter towards the immediately following exploit
code. Although the intruder has some freedom in shaping the sledge
it has to be executable by the processor. We perform abstract
execution of the payload to identify such sequences of executable
code with virtually no false positives.

A prototype implementation of our sensor has been integrated into
the Apache web server. We have evaluated the effectivity of our
system on several exploits as well as the performance impact on
services.


Elektronische Version der Publikation:
http://www.infosys.tuwien.ac.at/reports/repository/TUV-1841-2002-30.ps


Erstellt aus der Publikationsdatenbank der Technischen Universität Wien.