Você está na página 1de 34

Manobras Evasivas: Tcnicas de

Evaso para Varreduras com o Nmap

Rafael Ferreira
Scio Diretor Tcnico
rafael@clavis.com.br

$ whoami
rafael@clavis.com.br
@rafaelsferreira
rafaelsoaresferreira

Grupo Clavis
Scio Diretor Tcnico
Teste de invaso em redes, sistemas e aplicaes

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Agenda

Introduo
Varreduras indiretas
Contornando tcnicas de deteco
Dificultando a deteco da origem
Concluso

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

http://nmap.org/
Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo
Nmap Security Scanner
Funcionalidades principais
Varreduras de portas

Deteco de servios, verses e SOs


Mapeamento e inventrio de redes
Entre outras

Criado por Gordon Fyodor Lyon


Ferramenta livre e cdigo aberto
Projeto ativo e mantido pela comunidade

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

http://nmap.org/movies/
Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

http://nmap.org/movies/
Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

http://nmap.org/movies/
Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

http://nmap.org/movies/
Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

Introduo Evaso com o Nmap


Objetivo: evitar deteco/bloqueio por firewalls/IDSs/IPSs
Tcnicas de evaso presentes no Nmap

Varredura indireta

Contornar tcnicas de deteco

Abuso da confiana e/ou transferncia da culpa


Muitos pacotes em portas diferentes chamam a ateno

Dificultar a identificao da origem

Muito rudo pode dificultar a determinao da origem

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Introduo

Introduo Evaso com o Nmap


Adendos importantes

Evaso Maior consumo de recursos


As tcnicas so adequadas para qualquer cenrio
Cuidado com o comportamento padro

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Varreduras Indiretas
Questes relacionadas ao intermedirio
Se utilizar um intermedirio qualquer

Simplesmente transferindo a culpa


Resultado iguais aos de uma varredura direta
A culpa minha e eu a coloco em quem eu quiser!!!

Se utilizar um intermedirio na infraestrutura alvo

Abusa da confiana do host que esta na mesma infraestrutura


Buscando contornar controles de acesso externo
Pode detectar servios que no so acessveis externamente
Utiliza proxy chains

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Varreduras Indiretas
Varredura TCP Idle (-sI)
Classificaes possveis: open e closed|filtered
Dificuldade: encontrar intermedirio vulnervel
SYN,ACK
RST (id)

SYN,ACK

SYN (IP spoofado)

RST (id + 1)

SYN,ACK
RST (id + 2)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Varreduras Indiretas
Varredura TCP Idle (-sI)
Classificaes possveis: open e closed|filtered
Dificuldade: encontrar intermedirio vulnervel
SYN,ACK
RST (id)

SYN (IP spoofado)

RST

SYN,ACK
RST (id + 1)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Varreduras Indiretas
Varredura FTP Bounce (-b)
Classificaes possveis: open, closed e filtered
Dificuldade: encontrar servidor FTP vulnervel
PORT IP,PT

SYN

226 Transfer complete

SYN/ACK

PORT IP,PT

SYN

425 Conn. refused

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

RST

Varreduras Indiretas

Outras Abordagens Possveis


Varredura com spoofing IP (-S)

Dificuldade: interceptar o trfego de resposta


Se a ideia s transferir a culpa, d pra fazer de tudo!

Varredura com spoofing MAC (--spoof-mac)

Dificuldade: interceptar o trfego de resposta


Pode simular MACs de diferentes fabricantes ou aleatrio
Cuidado com o endereo IP!!!

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

IP Spoofing

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

MAC Spoofing

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Contornando Tcnicas de Deteco

Varredura TCP Null (-sN), FIN (-sF) e Xmas (-sX)


Classificaes possveis: closed e open|filtered
Varreduras para evadir de firewalls stateless mal-configurados

*cri* | FIN | FIN,PSH,URG

*cri* | FIN | FIN,PSH,URG


RST

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

TCP Null, FIN e Xmas

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Contornando Tcnicas de Deteco

Varredura TCP ACK (-sA)


Classificaes possveis: filtered e unfiltered
Mapeamento de regras de firewall (firewalking)

ACK
RST

ACK

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

TCP ACK

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Contornando Tcnicas de Deteco


Controle de Desempenho (-T)
Perfis existentes

Paranico (-T0 ou paranoid): 5min entre probes e sem paralelismo


Furtivo (-T1 ou sneaky): 15s entre probes e sem paralelismo
Educado (-T2 ou polite): 0,4s entre probes e sem paralelismo
Normal (-T3 ou normal): 0,4s entre probes e com paralelismo
Agressivo (-T4 ou aggressive): reduz intervalos de timeout
Insano (-T5 ou insane): reduz muito os intervalos de timeout

Eficaz no contorno de:

Filtros baseados em tempo entre pacotes e vazo total

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Paranico (-T0)

Furtivo (-T1)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Educado (-T2)

Normal (-T3)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Agressivo (-T4)

Insano (-T5)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Contornando Tcnicas de Deteco

Controle de Desempenho (-T)


Outras opes interessantes

Nmero de hosts simultneos (--{min,max}-hostgroup)


Nmero de probes simultneos (--{min,max}-parallelism)
Nmero de retransmisses (--max-retries)
Tempo de espera por respostas (--{min,max,initial}-rtt-timeout)
Tempo mximo de espera por host (--host-timeout)
Tempo de espera entre probes (--scan-delay e --max-scan-delay)
Controle de fluxo (--{min,max}-rate)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Contornando Tcnicas de Deteco


Outras tcnicas interessantes
Pacotes fragmentados (-f)

Divide o cabealho do protocolo de transporte


Eficaz no contorno de:

Filtros que no armazenam fragmentos para repasse


Filtros com severas restries de performance

Definio da porta de origem (-g)

Contorna filtros que permitem trfego em determinadas portas

Portas de interesse: 20 (FTP), 53 (DNS), 67 (DHCP), 88 (Kerberos)

Eficaz no contorno de:

Firewalls mal configurados

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Pacotes fragmentados (-f)

Porta origem (-g)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Dificultando a Deteco da Origem

Varredura com decoys (-D)


Para cada pacote, envia outro spoofado para cada decoy
Gera MUITO rudo, mas dificulta a definio da origem
Eficaz no contorno de:

Ferramentas de gerncia automatizada de logs

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Varredura com decoys (-D)

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Concluses

Com tcnicas evasivas possvel:


Enumerao de controles e filtros
Teste da eficcia de tais controles
Avaliao da capacidade de resposta

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Siga a Clavis

http://clav.is/slideshare
http://clav.is/twitter
http://clav.is/facebook
http://clav.is/youtube

Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.

Muito Obrigado!
rafael@clavis.com.br
@rafaelsferreira

Rafael Ferreira

Scio Diretor Tcnico


Copyright 2013 Clavis Segurana da Informao. Todos os direitos reservados.