Omschrijving
Referentie naar officiële documentatie:
https://support.microsoft.com/en-us/topic/ms08-067-vulnerability-in-server-service-could-allow-remote-code-execution-ac7878fc-be69-7143-472d-2507a179cd15: MS08-netapiMet deze aanval kan willekeurige code en commando’s uitgevoerd worden op devices waarop windows 2000, XP of server 2003 staat. Dit betekent dat een aanvaller met deze exploit een toestel volledig kan overnemen.
Deze aanval verloopt via het TCP protocol, dit is het protocol dat gebruikt wordt om connecties aan te gaan tussen toestellen. Dit protocol kan ook verschillende poorten aanspreken. Zo wordt poort 143 standaard gebruikt voor e-mails en poort 20 en 21 om bestanden naar een fileserver door te sturen. De aanval richt zich op het exploiteren van het Samba project. Het Samba project heeft als doel om data uitwisseling tussen windows toestellen en unix toestellen, zoals mac en ubuntu, mogelijk te maken. Het samba project maakt gebruik van poort 445 met het zogenaamde SMB protocol. Indien de aanval met MetaSploit gebeurd zal het verkeer naar poort 4444 teruggestuurd worden op het toestel van de aanvaller.
Aanvalsgedrag
MS08-Netapi exploit of MS08-067 wordt gecategoriseerd binnen de techniek Exploitation of remote Services.
https://attack.mitre.org/techniques/T1210/
Hierbij wordt een toestel of een deel van de services van het toestel overgenomen door de aanvaller. Er zijn ook vele andere voorbeelden van deze techniek.
Aanvalsdetectoren
Security expert
- Poort 4444 is op zich al zeer verdacht, dit is de standaardpoort waar Metasploit gebruik van maakt.
- Het SMB protocol met poort 445 wordt standaard niet gebruikt binnen de OT setting. Tenzij de IT dienst hier intern gebruik van maakt om bepaalde bestanden over te zetten kan verkeer op deze poort ook als verdacht gezien worden.
Algoritmes
- Poort 4444 (metasploit) en poort 445 (smb) geeft duidelijk een deel van de verdachte traffiek.
- verhoogde hoeveelheid traffiek afgelopen seconde, minuut of per ip-adres.
- Verhoogde hoeveelheid data verstuurd binnen individuele berichten.
Referenties
Officiele documentatie van de MS08-067 exploit
https://support.microsoft.com/en-us/topic/ms08-067-vulnerability-in-server-service-could-allow-remote-code-execution-ac7878fc-be69-7143-472d-2507a179cd15
AI experimenten zijn uitgevoerd op basis van voorgaand werk
https://www.usenix.org/conference/cset16/workshop-program/presentation/lemay