Die Aufgabenstellung hat vorgesehen, dass ein theoretischer Teil und praktischer Teil im Rahmen des berufsbegleitenden Studiums erarbeitet werden. Modul-Thema waren zu diesem Zeitpunkt IT-Sicherheit und IT-Angriffe.
Im Abschnitt der Theorie wurde vor allem Recherche betrieben, um einen Zugriff auf das Thema zu finden und den Praxisteil sinnvoll einzuleiten. Der Anhang beinhaltet vor allem Musterquelltexte (Powershell-Skripte), die die ersten Ansätze für die Anwendung von Verschleierung beinhalten. Die Quelltexte dienen als erste Orientierung und als Basis für weitere Umsetzungen.
Die Untersuchungen im praktischen Teil zielen vor allem darauf ab zu untersuchen wie sich Verschleierung mit Hilfe eines zur Verfügung gestellten Tools umsetzen lässt und wie verschiedene Payloads obfusciert werden können.
Die Quellen eignen sich ausgezeichnet für weitere Recherchen in diesem Themenbereich.
Inhaltsverzeichnis
1 Einleitung
2 Theoretischer Teil
2.1 Wie ist Verschleierung einzuordnen?
2.2 Verschleierung von Payloads – Begriffsbestimmung
2.3 Mechanismen der Verschleierung
2.3.1 Zeichenorientierte Verschleierung
2.3.2 Verschleierung mittels Substringfunktion
2.3.3 Verkettung
2.3.4 FORCoding
2.3.5 Reversal
2.3.6 FINcoding
2.4 Erkennung von Verschleierung
2.4.1 Signature-based Detection
2.4.2 Statistical Anomaly-based Detection
2.4.3 Stateful Protocol Analyse
2.4.4 Schlussfolgerung bezüglich Erkennungsmethoden
3 Praktischer Teil
3.1 Vorstellung des Tools Invoke-DOSfucation
3.1.1 Invoke-DOSfuscation
3.1.2 Invoke-DOSfuscationTestHarness
3.2 Invoke-DOSfucation in Aktion
3.2.1 Tools
3.2.2 Versuch 1: Verschleiern einer harmlosen Payload
3.2.3 Versuch 2: Verschleiern einer schädlichen Payload
4 Fazit und Ausblick
Zielsetzung & Themen
Die vorliegende Arbeit zielt darauf ab, Techniken zur Verschleierung (Obfuscation) von Payloads in der Windows-Kommandozeile (cmd.exe) zu analysieren und deren Anwendung in einem praktischen Szenario zu demonstrieren. Dabei soll untersucht werden, wie sicherheitsrelevante Mechanismen, insbesondere Intrusion Prevention Systeme (IPS), durch diese Techniken umgangen werden können und welche Möglichkeiten zur Erkennung existieren.
- Grundlagen und Definition von Verschleierungstechniken in der IT-Sicherheit.
- Analyse verschiedener Mechanismen wie zeichenorientierte Verschleierung, Substringfunktionen und Verkettung.
- Evaluation von Erkennungsmethoden durch IDS/IPS (signaturbasiert vs. anomaliebasiert).
- Praktische Erprobung und Demonstration mittels des Tools Invoke-DOSfuscation.
- Durchführung von Versuchen zur Verschleierung harmloser sowie potenziell schädlicher Payloads.
Auszug aus dem Buch
2.3.1.1 Das Caretzeichen ‚^‘
Gemäß Bohannon, D. ([3]) handelt es sich beim Caretzeichen um das am meisten genutzte Zeichen, dass für eine Verschleierung herangezogen wird. Normalerweise wird ein Caret benutzt, um einem folgenden Sonderzeichen seine Funktion zu entziehen. Das heißt, dass zum Beispiel ein Backslash ‚\‘ mittels ‚^\‘ in der cmd.exe auch wirklich nur als originärer Backslash interpretiert wird. Zur Verschleierung kann die Eigenschaft benutzt werden, dass ein Caret sich selbst entkommen kann. Wird ein Befehl mittels doppelten Caret erstellt und anschließend ausgeführt, dann wird schlussendlich der Befehl so ausgeführt, als wäre nie ein Caret verwendet worden.
Beispiel:
Dabei ist an dieser Stelle wichtig zu betonen, dass mit jeder Schicht während der Befehlsausführung das Caret immer weiter reduziert wird.
Zusammenfassung der Kapitel
1 Einleitung: Vorstellung des Themas, des methodischen Vorgehens und der Zielsetzung der Arbeit im Rahmen des Moduls Digitale Forensik.
2 Theoretischer Teil: Detaillierte Betrachtung von Verschleierungstechniken für cmd.exe sowie Analyse von Erkennungsmechanismen durch IDS und IPS.
3 Praktischer Teil: Demonstration und praktische Anwendung des Tools Invoke-DOSfuscation anhand von Beispielszenarien und Versuchsreihen.
4 Fazit und Ausblick: Zusammenfassende Bewertung der erreichten Ziele sowie Diskussion über den Bedarf an weiteren Untersuchungen hinsichtlich der IPS-Reaktionen auf hochkomplexe Verschleierungen.
Schlüsselwörter
Verschleierung, Obfuscation, Payloads, cmd.exe, Digitale Forensik, Intrusion Prevention Systeme, IPS, IDS, Invoke-DOSfuscation, PowerShell, IT-Sicherheit, Signaturbasierte Erkennung, Schadcode, Penetrationstests, Shellcode.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundlegend?
Die Arbeit befasst sich mit Verschleierungstechniken für Payloads in der Windows-Kommandozeile, um Sicherheitsmechanismen zu umgehen.
Was sind die zentralen Themenfelder?
Die Schwerpunkte liegen auf Obfuscation-Mechanismen, der Umgehung von IPS-Systemen und der praktischen Anwendung von spezialisierten Tools.
Was ist das primäre Ziel der Arbeit?
Das Ziel ist die theoretische Aufarbeitung der Verschleierungsmöglichkeiten und die praktische Demonstration derer Wirksamkeit bei der Payload-Erstellung.
Welche wissenschaftliche Methode wird verwendet?
Es wird ein theoretischer Ansatz mit anschließender experimenteller Validierung durch Versuche in virtuellen Umgebungen verfolgt.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in einen theoretischen Abschnitt zu Verschleierungsmechanismen und einen praktischen Abschnitt zur Nutzung von Invoke-DOSfuscation.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit wird primär durch Begriffe wie Verschleierung, cmd.exe, Invoke-DOSfuscation und IT-Sicherheit definiert.
Wie unterscheidet sich die zeichenorientierte Verschleierung von anderen Methoden?
Sie nutzt spezifische Escape-Character, um statische Signaturen einer Erkennungssoftware zu täuschen, anstatt den Befehl strukturell komplett umzubauen.
Was ist die Schlussfolgerung bezüglich moderner IPS-Erkennung?
Die Arbeit stellt fest, dass es keine universelle Signatur gibt, die alle Verschleierungen abdeckt, weshalb blockbasierte Erkennungstechniken vorteilhafter sein können.
- Quote paper
- Lee Kirsten (Author), 2019, Verschleierungstechniken für Payloads, Munich, GRIN Verlag, https://www.grin.com/document/506102
