looking for ghosts in the machine
play

Looking for Ghosts in the Machine Scott Campbell Security Analyst - PowerPoint PPT Presentation

Jan 18, 2024 •151 likes •845 views

Looking for Ghosts in the Machine Scott Campbell Security Analyst August 10, 2015 - 1 - Network Monitoring Limitations There are issues for a fully network centric analysis:

  1. Looking for Ghosts in the Machine Scott Campbell � Security Analyst August ¡10, ¡2015 ¡ -­‑ ¡1 ¡-­‑ ¡

  2. Network Monitoring Limitations There ¡are ¡issues ¡for ¡a ¡fully ¡network ¡centric ¡analysis: ¡ • Increasing ¡encryp=on ¡of ¡transport ¡layer(s) ¡– ¡think ¡ HTTP ¡2.x ¡encrypted ¡by ¡default. ¡ • Ac=vity ¡on ¡systems ¡that ¡has ¡nothing ¡to ¡do ¡with ¡the ¡ network. ¡ • AIacks ¡derived ¡on ¡the ¡ applica&on ¡layer ¡rela=ng ¡to ¡ internal ¡state. ¡ ¡ -­‑ ¡2 ¡-­‑ ¡

  3. Host Based IDS Look ¡at ¡the ¡following ¡projects ¡to ¡address ¡some ¡of ¡ there ¡limita=ons ¡ ¡ • iSSHD ¡ • Auditd ¡ • Object ¡Abstrac=on: ¡More ¡appropriate ¡primi=ve ¡for ¡ holding ¡detailed ¡informa=on. ¡ ¡ -­‑ ¡3 ¡-­‑ ¡

  4. Instrumented SSHD -­‑ ¡4 ¡-­‑ ¡

  5. iSSHD: Background, circa 2007 6 ¡Major ¡plaQorms, ¡transi=on ¡to ¡100G ¡in ¡progress. ¡ > ¡4000 ¡users ¡worldwide. ¡ SSH ¡access ¡and ¡Shell ¡accounts ¡for ¡everyone! ¡ Passwords ¡are ¡primary ¡authen=ca=on. ¡ Highly ¡diverse ¡code ¡base. ¡ ¡ No ¡clear ¡idea ¡what ¡our ¡users ¡are ¡ really ¡doing... ¡ -­‑ ¡5 ¡-­‑ ¡

  6. iSSHD: Design Data ¡Normalized: ¡make ¡input ¡and ¡output ¡a ¡series ¡of ¡ well ¡defined ¡type:value ¡pairs. ¡ ¡ URI ¡Encode ¡all ¡user ¡supplied ¡data: ¡considered ¡hos=le ¡ binary ¡content ¡=ll ¡expressly ¡cleaned. ¡ ¡ Disconnect ¡data ¡flow, ¡logging ¡and ¡policy ¡applica=on. ¡ ¡ Metadata ¡is ¡valuable, ¡so ¡capture ¡it. ¡ ¡ Access ¡data ¡ transi&ng ¡ SSH ¡channels. ¡ -­‑ ¡6 ¡-­‑ ¡

  7. iSSHD: Internal Data Flow Look ¡at ¡data ¡flow ¡and ¡build ¡structure ¡around ¡it. ¡ -­‑ ¡7 ¡-­‑ ¡

  8. iSSHD: Solution Architecture Stunnel ¡ S ¡ Host ¡ S ¡ iSSHD ¡Instance ¡ Bro ¡ -­‑ ¡8 ¡-­‑ ¡

  9. iSSHD: Solution Architecture Stunnel ¡ S ¡ LOG ¡ Input ¡Framework ¡ INPUT ¡ reads ¡in ¡structured ¡ FRAME ¡ Host ¡ text ¡Log ¡file ¡and ¡ outputs ¡events ¡ Bro ¡ -­‑ ¡9 ¡-­‑ ¡

  10. iSSHD: Solution Architecture channel_data_client_3 time=1434153284.253513 uristring=NMOD_3.08 uristring=931154978%3Ahopper10%3A22 Stunnel ¡ count=102814571 count=0 uristring=ls � S ¡ LOG ¡ Input ¡Framework ¡ INPUT ¡ reads ¡in ¡structured ¡ FRAME ¡ Host ¡ text ¡Log ¡file ¡and ¡ outputs ¡events ¡ Bro ¡ -­‑ ¡10 ¡-­‑ ¡

  11. iSSHD: Solution Architecture event channel_data_client_3(ts: time, version: string, sid: string, cid: count, channel:count, data:string) � Stunnel ¡ { � S ¡ # general event for client data from � LOG ¡ # a typical login shell � local CR:client_record = test_cid(sid,cid); � � Input ¡Framework ¡ INPUT ¡ log_session_update_event(CR, ts, � reads ¡in ¡structured ¡ FRAME ¡ "CHANNEL_DATA_CLIENT_3", data); � Host ¡ text ¡Log ¡file ¡and ¡ } � outputs ¡events ¡ Bro ¡ -­‑ ¡11 ¡-­‑ ¡

  12. iSSHD: Solution Architecture Stunnel ¡ S ¡ LOG ¡ Bro ¡Core ¡process ¡ INPUT ¡ events, ¡logging ¡all ¡ FRAME ¡ Host ¡ the ¡data ¡and ¡ applying ¡policy ¡as ¡ BRO ¡ CORE ¡ defined. ¡ Bro ¡ -­‑ ¡12 ¡-­‑ ¡

  13. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ -­‑ ¡13 ¡-­‑ ¡

  14. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ -­‑ ¡14 ¡-­‑ ¡

  15. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ -­‑ ¡15 ¡-­‑ ¡

  16. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ • User ¡I/O: ¡data_client ¡(noIy), ¡data_server ¡(noIy), ¡ exec, ¡exec_pty, ¡exec_no_pty ¡ -­‑ ¡16 ¡-­‑ ¡

  17. iSSHD: Event Groups • Core: ¡start, ¡stop, ¡heartbeat, ¡telemetry ¡ • SSH ¡MetaData: ¡port ¡forwarding ¡(req/listener), ¡X11, ¡ channel ¡crea=on, ¡socks4/5, ¡tunneling ¡ • Auth: ¡auth ¡info, ¡pass ¡aIempt, ¡key_fingerprint, ¡ ¡invalid_user, ¡key_exchange ¡ • User ¡I/O: ¡data_client ¡(noIy), ¡data_server ¡(noIy), ¡ exec, ¡exec_pty, ¡exec_no_pty ¡ • SFTP: ¡most ¡func=onal ¡calls ¡recorded ¡ -­‑ ¡17 ¡-­‑ ¡

  18. iSSHD: Example #1 (client side) Example ¡#1: ¡Remote ¡shell ¡exec ¡ ¡(client ¡side) ¡ spork:RUN scottc$ ssh 10.10.10.10 sh –i � � sh-3.2$ id � id � uid=324(scottc) gid=10324(scottc) groups=10324(scottc) � sh-3.2$ exit � exit � � ¡ -­‑ ¡18 ¡-­‑ ¡

  19. iSSHD: Example #1 (server side) #1 ¡-­‑ ¡SSHD_CONNECTION_START ¡127.0.0.1:52344/tcp ¡-­‑> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡SSHD_CONNECTION_START ¡127.0.0.1_192.168.1.134_10.211.55.2_10.37.129.2 ¡ #1 ¡-­‑ ¡AUTH_KEY_FINGERPRINT ¡01:12:23:34:45:56:67:78:89:9a:ab:bc:cd:de:ef:ff ¡type ¡DSA ¡ #1 ¡-­‑ ¡AUTH ¡Postponed ¡scoIc ¡publickey ¡127.0.0.1:52344/tcp ¡> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡AUTH_KEY_FINGERPRINT ¡01:12:23:34:45:56:67:78:89:9a:ab:bc:cd:de:ef:ff ¡type ¡DSA ¡ #1 ¡-­‑ ¡AUTH ¡Accepted ¡scoIc ¡publickey ¡127.0.0.1:52344/tcp ¡> ¡0.0.0.0:22/tcp ¡ #1 ¡-­‑ ¡SESSION_NEW ¡SSH2 ¡ #1 ¡-­‑ ¡CHANNEL_NEW ¡[0] ¡server-­‑session ¡ #1 ¡-­‑ ¡SESSION_INPUT_CHAN_OPEN ¡server-­‑session ¡ctype ¡session ¡rchan ¡0 ¡win ¡2097152 ¡max ¡32768 ¡ #1 ¡-­‑ ¡CHANNEL_NEW ¡[1] ¡auth ¡socket ¡ #1 ¡0-­‑server-­‑session ¡SESSION_INPUT_CHAN_REQUEST ¡AUTH-­‑AGENT-­‑REQ@OPENSSH.COM ¡ #1 ¡0-­‑server-­‑session ¡SESSION_REMOTE_DO_EXEC ¡sh ¡-­‑i ¡ #1 ¡0-­‑server-­‑session ¡SESSION_REMOTE_EXEC_NO_PTY ¡sh ¡-­‑i ¡ #1 ¡0-­‑server-­‑session ¡SESSION_INPUT_CHAN_REQUEST ¡EXEC ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_CLIENT ¡id ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_SERVER ¡uid=32434(scoIc) ¡gid=32434(scoIc) ¡ #1 ¡0-­‑server-­‑session ¡NOTTY_DATA_CLIENT ¡exit ¡ #1 ¡-­‑ ¡host ¡SESSION_EXIT ¡ #1 ¡0-­‑server-­‑session ¡CHANNEL_FREE ¡ #1 ¡1-­‑auth ¡socket ¡CHANNEL_FREE ¡ #1 ¡-­‑ ¡SSHD_CONNECTION_END ¡127.0.0.1:52344/tcp ¡-­‑> ¡0.0.0.0:22/tcp ¡ ¡ -­‑ ¡19 ¡-­‑ ¡

Recommend

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of

Impacting Culture through Communication Saft World Class Strategy 1. Overcoming Ghosts of the Past Misconceptions, Misunderstandings & Myths 2. Lean Reawakening 3. Nurturing Lean Growth 2 New mention Ghosts of the

383 views • 26 slides
GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3

GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3

Quantifying the Faint Outskirts of GHOSTS M101 using Resolved Stars 70 kpc g =30 mag/'' 2 F9 F8 F5 F1 F4 F7 F6 F2 F3 g-band, Dragonfly array In Sung Jang (AIP) Roelof de Jong Benne Holwerda Antonela Monachesi Eric Bell Jeremy

298 views • 5 slides
People with Pain are like Ghosts None see them and None see their Disability WHO

People with Pain are like Ghosts None see them and None see their Disability WHO

There is an Epidemic Morbus named Chronic Pain But People with Pain are like Ghosts None see them and None see their Disability WHO declaration,1948 Health is not merely the absence of disease

265 views • 14 slides
WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our

WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our

WELCOME!! GHOSTS AND GOBLINS ARE SC SCAR ARY. QUICKBOOKS DOESNT HAVE TO BE! Presented by our QuickBooks experts Becky Miller, Anne Becker, Lauren Brothen, and Christina Hess J AMES H AMLIN& C O .,P .C. CPAs & Business Advisors

473 views • 29 slides
Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny

Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny

Who Are Those Ancestors? Friendly Ghosts From the Past Haunting the Present Names Shanny Lyndon brothers Nanee Aunt Clyde & Uncle Rufus Granny Bo Robertsons McCartneys Shorts, Hollidays, Floods, Maclin

1.08k views • 62 slides
http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical

http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical

http://www.neutrino2008.co.nz NEUTRINOS: Ghosts of the Universe Stephen Parke Theoretical Physicist Fermilab Websters Online Dictionary Main Entry: neutrino Pronunciation: n-'trE-(")nO, ny- Etymology: Italian, from neutro

1.44k views • 88 slides
Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert.

Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert.

Weaponised Children: Wars, Ghosts and the adults the children will become. Sarah Calvert. PhD. Clinical Psychologist Distinguished Scholar, Waikato University. The Adult the Child will Become We are a social animal Families are an

309 views • 16 slides
The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1

The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1

The ghosts of departed quantities as the soul of computation Sam Sanders 1 FotFS8, Cambridge 1 This research is generously supported by the John Templeton Foundation. Aim and Motivation AIM: To connect infinitesimals and computability. Aim and

1.2k views • 87 slides
WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum

WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum

WE ARE NOT ALONE: PARTNERS, GHOSTS, STORYTELLERS Presented by: Berlin Loa, Director, The Museum of Casa Grande Stacey Seaman, Director, BlackBox Foundation Excerpt from a presentation given at the Museum Association of Arizona conference May

486 views • 5 slides
In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement

In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement

In the shadow of Chief Seattle: Reclaiming environmentalism from the ghosts of white settlement Robert Jackson-Paton, Ph.D. White Privilege Conference Seattle, WA 11 April 2013 rjacksonpaton@mac.com beingunsettled.us Finding ground

665 views • 21 slides
Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith,

Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith,

Comparing results from the GHOSTS survey and the Auriga simulations Antonela Monachesi Universidad de La Serena E. Bell, B. Harmsen, R. de Jong, D. Radburn-Smith, J. Bailin + GHOSTS team F . Gomez, R. Grand, V. Springel, G. Kau ff mann +

531 views • 20 slides
On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City

On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City

15:50-16:10, 9th Feb., GC2018 On fermionic ghosts and the removal from scalar-fermion systems Yuki Sakakihara (Osaka City University) ref. Rampei Kimura, YS, Masahide Yamaguchi Phys. Rev. D96 (2017) 044015, another paper in prep. WHY

855 views • 12 slides
and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners

and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners

CHARLES BURDETT UNIVERSITY OF DURHAM Transnational Italian Culture and the Ghosts of Empire British Academy 7 May 2019 TML (2014-2017) project team and partners Charles Burdett (Bristol); Jenny Burns (Warwick); Jacopo Colombini (St Andrews);

603 views • 48 slides
SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of

SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of

SPECTRES, VIRTUAL GHOSTS, AND HARDWARE SUPPORT Xiaowan Dong University of Rochester Zhuojia Shen University of Rochester John Criswell University of Rochester

842 views • 33 slides
Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies

Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies

Machine to Machine Communications As a Service Machine-to-Machine (M2M) refers to technologies that allow both wireless and wired systems to communicate with other devices Its the fastest growing Telecom market today It uses the existing

412 views • 27 slides
Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan

Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan

Ghosts for Lists: from Axiomatic to Executable Specifications Frdric Loulergue Allan Blanchard Nikolai Kosmatov June 29, 2018 @ Tests & Proofs 2018 0/21 - F.Loulergue, A.Blanchard, N.Kosmatov - June 29, 2018 Contents 01.

749 views • 31 slides
Logic Against Ghosts: Comparison of two Proof Approaches for Linked Lists Allan Blanchard

Logic Against Ghosts: Comparison of two Proof Approaches for Linked Lists Allan Blanchard

Logic Against Ghosts: Comparison of two Proof Approaches for Linked Lists Allan Blanchard Nikolai Kosmatov Frdric Loulergue April 10, 2019 @ SAC-SVT 2019 0/18 - A.Blanchard, N.Kosmatov, F.Loulergue - April 10, 2019 Motivation

831 views • 31 slides
CS 126 Lecture A1: TOY Machine Outline Introduction Toy machine Machine language

CS 126 Lecture A1: TOY Machine Outline Introduction Toy machine Machine language

CS 126 Lecture A1: TOY Machine Outline Introduction Toy machine Machine language instructions Example machine language programs Conclusions CS126 9-1 Randy Wang Brief History Leading to the Dominance of von Neumann

446 views • 33 slides
ZERO Digital Converting Machine Machine Overview The fastest Digital Converting Machine ZERO

ZERO Digital Converting Machine Machine Overview The fastest Digital Converting Machine ZERO

ZERO Digital Converting Machine Machine Overview The fastest Digital Converting Machine ZERO RO A newly designed system based on over 20 years of experience and know-how in machine development. Most packaging and display products are

500 views • 13 slides
Who are you ? How can you identify someone? Certificates, Protocols: Machine to Machine

Who are you ? How can you identify someone? Certificates, Protocols: Machine to Machine

Who are you ? How can you identify someone? Certificates, Protocols: Machine to Machine Human to Machine ? Lets have some suggestions Be creative, not necessarily computer oriented Classification of identification methods

1.37k views • 97 slides
Machine to Machine MOIST MEDIA II . MACHINE / LIFE RESEARCH & PROTOTYPE

Machine to Machine MOIST MEDIA II . MACHINE / LIFE RESEARCH & PROTOTYPE

Machine to Machine MOIST MEDIA II . MACHINE / LIFE RESEARCH & PROTOTYPE PRESENTATION PRESENTED BY Eachie Zhou Aimee Tu 01 CHATTING ROOM CONTENTS 02 WHATS THE DIFFERENCE 03 PROTOTYPE 04

467 views • 20 slides
An Exercise in An Exercise in Machine Learning Machine Learning

An Exercise in An Exercise in Machine Learning Machine Learning

An Exercise in An Exercise in Machine Learning Machine Learning http://www.cs.iastate.edu/~cs573x/bbsilab.html Machine Learning Software Preparing Data Building Classifiers Interpreting Results Machine Learning Software

496 views • 26 slides
Differential Equation Axiomatization The Impressive Power of Differential Ghosts Andr e

Differential Equation Axiomatization The Impressive Power of Differential Ghosts Andr e

Differential Equation Axiomatization The Impressive Power of Differential Ghosts Andr e Platzer Yong Kiam Tan 0.5 0.4 0.3 0.2 1.0 0.1 0.8 0.6 0.4 0.2 Andr e Platzer, Yong Kiam Tan (CMU) Differential Equation Axiomatization

1.16k views • 48 slides
Machine Learning By Alex Scarlatos What is Machine Learning? Machine Learning is the process by

Machine Learning By Alex Scarlatos What is Machine Learning? Machine Learning is the process by

Machine Learning By Alex Scarlatos What is Machine Learning? Machine Learning is the process by which computers can be trained through observation, rather than being explicitly programmed. Basically, a program is given input and adjusts its

556 views • 17 slides

More recommend