Security
Linux Security Monitoring mit Audit Events: Schmerzen reduzieren
Die Erkennung von Angriffen auf Netzwerke setzt die Arbeit mit hostbasierten Indikatoren voraus, die über das normal übliche "syslog"-Maß "ssh-Login als User U mit Key X", "User U wird root", "Logout User U" hinausgehen. Linux Audit Subsystem ("auditd") ist geeignet, um feingranulare Events aufzuzeichnen, aber das Format taugt nicht zur Weiterverarbeitung. Ich gehe auf die Probleme des Formats ein, zeige, wie man dieses Problem mit vertretbarem CPU-Overhead gelöst bekommt und was man bei der Gelegenheit noch tun kann, um dem Analysten, der in sein SIEM starrt, die Arbeit zu erleichtern.
Netzwerktraffic im Klartext ist eher zu einer Seltenheit geworden, das ist natürlich gut. Die Kehrseite der Medallie ist, dass für die Erkennung von Angriffen in Unternehmens- und anderen Netzwerken netzwerkbasierte Indikatoren an Bedeutung verloren haben und hostbasierte Indikatoren heute eine größere Rolle spielen. Wir wollen nicht nur schauen sondern sehen, sind aber nicht bereit, dafür auf jedem System eine Horde von Blockchain-AI-EDR-Agenten zu installieren. Also müssen wir etwas fürs Logging tun, und zwar mehr als die üblichen Authentifizierungs- und Autorisierungs-Events.
Für Windows gibt es hierfür das bei SysInternals entwickelte "Sysmon", es ist closed source aber kostenlos und kein von Microsoft unterstütztes Produkt. Auf Linux-Systemen haben wir dafür seit 15 Jahren mit dem Audit-Subsystem eine gut funktionierende aber leider schlecht verständliche Quelle der Wahrheit: Das textbasierte Logformat ist für typische SIEM-Systeme zu irregulär und schlecht zu parsen. Unterschiedliche Aspekte eines Events sind auf mehrere Zeilen verteilt; nun sind die üblichen SIEM-Systeme im Kern eher Suchmaschinen und nicht besonders gut darin, JOIN-Operationen auszuführen. Leider ist das alles kaum noch zu ändern, weil die Rohdaten direkt im Kernel-Code erzeugt werden und als Teil einer Kompatibilitätszusage verstanden werden.
Bestehende Lösungsansätze ersetzen ohne Not das bestehende auditd-Userland (go-audit, auditbeat), bringen große Performanceprobleme mit sich (auditbeat, osquery, Skriptsprachen) oder setzen mit eBPF ohne Not auf "shiny new tech", ohne daraus einen Erkenntnis- oder Performancegewinn zu ziehen (Sysmon for Linux).
Um die bestehenden Schmerzen zu lindern, ist [LAUREL](https://github.com/threathunters-io/laurel) als _auditd_-Plugin entstanden, das die Events in Echtzeit aufbereitet und in ein SIEM- und Analysten-verträgliches JSONlines-Format kodiert. Dabei kommt LAUREL auch bei hoher Event-Rate mit vertretbarem CPU-Overhead aus.
War es ursprünglich als reines Umkodierungstool gedacht, fallen nach der ersten produktiven Bewährungsprobe natürlich weitere Use-Cases auf, mit der wir uns z.B. über die Markierung von Prozess-Beziehungen die Arbeit erheblich ereleichtern können, ohne dass aus dem Plugin zur Log-Aufbereitungs gleich ein EDR-Agent mit zu vielen Rechten und Pflichten werden muss.
Additional information
| Live Stream | https://streaming.media.ccc.de/gpn20/vortragssaal |
|---|---|
| Type | Vortrag |
| Language | German |
More sessions
| 5/19/22 |
Mit "secure boot" wird ein gefährliches Einfallstor für Schadsoftware und manipulierte Betriebssysteme geschlossen: Es können nur Betriebssysteme gestartet werden, die über eine gültige kryptographische Signature verfügen. Der Vortrag stellt das Konzept von secure boot vor und erzählt von den Erfahrungen, so etwas auf Linux-Systemen auch wirklich zum Laufen zu bringen.
|
| 5/19/22 |
Even if you use full disk encryption, there is still unencrypted code on the disk that asks you for the password. An evil maid attack is an attack on an unattended device, in which an attacker with physical access can backdoor the bootloader to grab the full disk encryption password. This attack is easy to perform if the target uses an unencrypted boot partition. GRUB2 also supports encrypted boot partitions, where stage 1.5 of the bootloader decrypts the boot partition. Conceptual, evil maid ...
|
| 5/20/22 |
Die Bilder in Serien und Filmen sind immer beeindruckend - da wird eine schwarze Konsole aufgemacht, die Heldin tippt ein wenig herum und schon ist die Root-Shell auf dem Server da, der Hack erfolgreich und die Welt gerettet. Doch wie sieht das in der Realität aus? Wenn ihr einen Laptop mit einem Kali-Linux auf USB-Stick oder in einer virtuellen Maschine mit bringt, führe ich Euch durch die notwendigen Schritte. Von der Analyse des Zielsytems, dem Finden von Schwachstellen bis hin zum ...
|
| 5/20/22 |
Purple Dome (https://github.com/avast/PurpleDome) ist eine Umgebung, um Hacking-Angriffe mit Caldera, Metasploit und Kali zu simulieren und die Reaktion von Sensoren auf den Zielsystemen zu beobachten.
|
| 5/20/22 |
The European Union’s General Data Protection Regulation (*GDPR*) requires websites to inform users about personal data collection and request consent for cookies. Yet the majority of websites do not give users any choices, and others attempt to deceive them into accepting all cookies. We document the severity of this situation through an analysis of potential GDPR violations in cookie banners in almost 30k websites. We identify six novel violation types, such as incorrect category assignments ...
|
| 5/20/22 |
The ECDSA signature scheme, which is used in Bitcoin, Ethereum and others, requires a fresh secret number, the 'nonce', for each signature. When this number is not generated uniformly at random, the security of the signature is in danger, and the private key may be recovered from the signatures, using a lattice-based algorithm. In this talk, we have a brief look at the math behind elliptic curve signatures and how to break the encryption when the “random nonce” isn't really random. Nadia ...
|
| 5/20/22 |
Um den Jahreswechsel ging ein Aufschrei durch die IT-Abteilungen der Welt, der es bis in die Mainstream-Medien geschafft hat. Noch Wochen später zeigen sich Folgeprobleme in weit verbreiteter Software. In Log4j, einer weit verbreiteten Java-Bibliothek wurde eine massive Sicherheitslücke gefunden, die die Ausführung von Schadcode auf einem entfernten System erlaubt. In diesem Vortrag soll rekapitulierend erklärt werden, warum und wann es zu dem Problem kam und welche Auswirkungen bisher ...
|
