Backdoorin naamiointi hyökkäyksen eri vaiheissa
Ruhala, Antti (2019)
2019
Tietotekniikka
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2019-05-20
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi:tty-201905211652
http://urn.fi/URN:NBN:fi:tty-201905211652
Tiivistelmä
Tässä kandidaatintyössä selvitetään erilaisia backdooreille ominaisia tapoja välttää hyökkäyksen paljastumista. Kandidaatintyö on tehty kirjallisuusselvityksenä. Työn aineistona toimivat sekä haavoittuvuustestauksen opetusmateriaaliksi luodut teokset sekä aiheen tieteelliset artikkelit. Hyökkäys on jaettu haittaohjelman generointiin sekä toimintaan kohteen hallinnan saavuttamisen jälkeen. Toimintaa kohteessa tarkastellaan ensin yhden kohdejärjestelmän osalta, jonka jälkeen selvitetään usean yhteyksissä olevan järjestelmän hallinnan hyödyt. Kandidaatintyö käsittelee esimerkeissään Metasploit työkalukehyksen tarjoaman Meterpreter service -työkalun ratkaisuja puolustusmekanismien luomiin ongelmiin.
Backdoorien toimintoja tarkastellaan erityisesti naamiointi- sekä harhautuskyvyn tehostamiseen keskittyen. Esiintuodut toiminnot luovat joko suoraan parempaa naamiointikykyä, tai mahdollistavat toisen tapahtuman, jolla on selvä vaikutus hyökkäyksen piilouttamiselle.
Selvityksen tuloksena saadun tiedon perusteella järjestelmään tuodulla backdoorilla on erittäin hyvät mahdollisuudet muokata ympäröivää käyttöjärjestelmää siten, ettei hyökkäyksen saavuttamat muutokset ole ilmiselviä. Hyökkääjä voi manipuloida tunnettuja puolustuksen mekanismeja saavutettuaan tarpeeksi korkeat oikeudet käyttöjärjestelmään. Backdoorin toiminnan pitäminen osana välimuistia piilottaa itse backdoorin useimmilta puolustuskeinoilta, mutta luo ongelmia välimuistin pyyhkiytymisen yhteydessä. Hyökkäyksen säilyvyyden takaamiseksi on useita ratkaisuja sekä itse kohdejärjestelmässä, mutta myös usean yhteydessä toisiinsa olevan järjestelmän hallinnassa. Usean hyökkäyskohteen hallintaa voidaan helpottaa erillisellä Armitage-käyttöliittymällä, joka tuo myös uusia etuja hyökkäyksen tehostamiseen ja tiimityöhön.
Backdoorien toimintoja tarkastellaan erityisesti naamiointi- sekä harhautuskyvyn tehostamiseen keskittyen. Esiintuodut toiminnot luovat joko suoraan parempaa naamiointikykyä, tai mahdollistavat toisen tapahtuman, jolla on selvä vaikutus hyökkäyksen piilouttamiselle.
Selvityksen tuloksena saadun tiedon perusteella järjestelmään tuodulla backdoorilla on erittäin hyvät mahdollisuudet muokata ympäröivää käyttöjärjestelmää siten, ettei hyökkäyksen saavuttamat muutokset ole ilmiselviä. Hyökkääjä voi manipuloida tunnettuja puolustuksen mekanismeja saavutettuaan tarpeeksi korkeat oikeudet käyttöjärjestelmään. Backdoorin toiminnan pitäminen osana välimuistia piilottaa itse backdoorin useimmilta puolustuskeinoilta, mutta luo ongelmia välimuistin pyyhkiytymisen yhteydessä. Hyökkäyksen säilyvyyden takaamiseksi on useita ratkaisuja sekä itse kohdejärjestelmässä, mutta myös usean yhteydessä toisiinsa olevan järjestelmän hallinnassa. Usean hyökkäyskohteen hallintaa voidaan helpottaa erillisellä Armitage-käyttöliittymällä, joka tuo myös uusia etuja hyökkäyksen tehostamiseen ja tiimityöhön.
Kokoelmat
- Kandidaatintutkielmat [1306]