Viren, Trojanische Pferde & Denial of Service Attacken

Matthias Neeland

Björn Mahn

Holger Kaßner

Viren – Übersicht

Definition: Virus Arten Klassifikation Funktionsweise Infektion und Verbreitung Aufstöbern und entfernen Fazit

Thema: Viren Matthias Neeland

Definition: Virus

1972 Begriff Virus Science Fiction Geschichte

1980 Diplomarbeit „Selbstreproduktion bei Programmen“

1983 Doktorarbeit Begriff Virus etabliert

Thema: Viren Matthias Neeland

Definition: Virus

Schlagworte: Programm Replikat Trigger Auslöser Payload Wirkteil

Programm das repliziert

Thema: Viren Matthias Neeland

Virenarten

Der Standard-Virus

Nutzprogramm

Replikator

(Auslöser)

Wirkteil

Thema: Viren Matthias Neeland

Virenarten

Minen (Bomb) Keine Replikation!

(Auslöser)

Wirkteil

Thema: Viren Matthias Neeland

Virenarten

Pilz (Myko) Pilz = Mine + Replikator

Replikator

(Autostarter)

(Auslöser)

Wirkteil(Auslöser)

Wirkteil

(Auslöser)

Wirkteil

Thema: Viren Matthias Neeland

Virenarten

Wurm Makro-/Dokumentenvirus Systemviren

Boot-Viren Boot-Sektor-Viren ...

Thema: Viren Matthias Neeland

Verteilung 2001

Thema: Viren Matthias Neeland

Würmer52%

Boot14%

File1%

Makro28%

Trojaner5%

Klassifikation

Hoax (engl.) (Zeitungs-)Ente

harmlos gefährlich

Thema: Viren Matthias Neeland

Funktionsweise

Auslöser (Trigger) Wirkteil (Payload)

Kopierteil (Replikator) Autostarter

Thema: Viren Matthias Neeland

Funktionsweise

Beispiel Cascade 1701

Programmdatei Virus

Sprung-befehl

Ver-/Ent-schlüsseln

Thema: Viren Matthias Neeland

Infektionsmechanismen

Diskette Raubkopien Dubiose Software Mailboxen Netzwerke Shareware, Public Domain

Thema: Viren Matthias Neeland

Ausbreitungsmechanismen

Replikation Vervielfältigung 1-zu-1 Polymorphie

Anhängen an Dateien Mail

Thema: Viren Matthias Neeland

Aufstöbern & Entfernen

Virenscanner bekannte Viren Signatur

Checker Gültigkeitsprüfung Virus bleibt unbekannt

Blocker Alarmfunktion

Thema: Viren Matthias Neeland

Fazit

Was können Viren?

Was nicht?

Vorsorge – Besser ist das!

Thema: Viren Matthias Neeland

Trojanische Pferde

Thema: Trojanische Pferde Björn Mahn

Trojaner – Übersicht

Was ist ein Trojaner? Typen bzw. Klassifikationen

Backdoors Demonstration (Sub7)

Infektionsmechanismen Aufstöbern und Entfernen Rechtslage

Thema: Trojanische Pferde Björn Mahn

Was ist ein Trojaner?

Benutzer

Programm

Thema: Trojanische Pferde Björn Mahn

Was ist ein Trojaner?

Unterschied zu Viren Ist selbständig Keine Replikation

Trägerprogramm Replikation Trägerprogramm ist nur „Tarnung“

Thema: Trojanische Pferde Björn Mahn

Nicht verwechseln!

Backdoor spezieller Trojaner Logische Bombe kein Trojaner

Trägerprogramm normale SW Auslösungszeitpunkt/ -ereignis

Easter Egg harmlose Form einer log. Bombe

Thema: Trojanische Pferde Björn Mahn

Typen bzw. Klassifikationen

Normal

Autostart

Thema: Trojanische Pferde Björn Mahn

Kombinationen

Spione

Backdoors

Dropper

Typen bzw. Klassifikationen

Normal

Thema: Trojanische Pferde Björn Mahn

Kombinationen

Spione

Backdoors

Dropper

Backdoors

BackdoorServer

BackdoorClient

Internet

ahnungsloserBenutzer

Hacker

API u. Daten (Anf.)

Daten

Zugangsdaten

Thema: Trojanische Pferde Björn Mahn

Demonstration

Thema: Trojanische Pferde Björn Mahn

Demonstration

Sub7Server

Sub7Client

LAN

ahnungsloserBenutzer

Hacker

Thema: Trojanische Pferde Björn Mahn

Infektionsmechanismen

Keine eigenständige Ausbreitung Trägerprogramm: Mail, IRC etc.

Toolkits Demonstration

Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen

“.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.”

Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen

Allgemein Siehe Definition unmöglich

Dropper Virenscanner/ -monitor

Spione und Backdoors Firewall Systemübersicht/ -pflege

Thema: Trojanische Pferde Björn Mahn

Aufstöbern und Entfernen

Systemübersicht/ -pflege Auffällige Veränderungen im FS

• Screenshots, „key.log“ Autostart (Spione und Backdoors)

• Windows-Registrierung, etc.• System.ini: shell=Explorer.exe

„Netstat –an“

Thema: Trojanische Pferde Björn Mahn

Rechtslage

§ 202a StGB Ausspähen von DatenWer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Thema: Trojanische Pferde Björn Mahn

Rechtslage

§ 202a StGB DatenveränderungWer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.Der Versuch ist strafbar.

Thema: Trojanische Pferde Björn Mahn

Denial of Service Attacken

Thema: Denial of Service Holger Kaßner

DoS – Übersicht

Was ist DoS? Welchen Zweck hat DoS? Welche Arten gibt es? DDoS Gegenmaßnahmen Fazit

Thema: Denial of Service Holger Kaßner

Was ist DoS?

Denial of Service (Dienstblockade)

Ist die gewollte Überlastung eines Dienstes bzw. Servers, welche durch Dritte verursacht wird

Thema: Denial of Service Holger Kaßner

Welchen Zweck hat DoS?

Server zu überlasten Server komplett lahm legen

Server ist nicht mehr verfügbar es entsteht z.B. wirtschaftlicher

Schaden, wenn dies mit Servern großer Firmen geschieht.

Thema: Denial of Service Holger Kaßner

Welche Arten gibt es?

UDP Packet Storm

TCP SYN Flooding

PING Flooding

Thema: Denial of Service Holger Kaßner

UDP Packet Storm

Große Anzahl (korrekter) Pakete wird an das Zielsystem geschickt, welches dann unter Last ausfallen kann.

Thema: Denial of Service Holger Kaßner

TCP SYN Flooding

Aufbau (gefälschter) Verbindungen, die sofort wieder abgebrochen werden

Thema: Denial of Service Holger Kaßner

TC P-Q ue lle TC P-Zie lSEQ = 4711FLAG S = SYN

SEQ = 5010AC K = 4712FLAG S = SYN, AC KSEQ = 4712

AC K = 5011FLAG S = AC K

PING Flooding

System wird mit (gefälschten) ICMP-Echo-Reply-Paketen belastet

Bei gefälschter Größe kann bei manchen Systemen zu weiteren Störungen führen

Mit gefälschter Absenderadresse kann dieses oder ein anderes System zusätzlich belastet werden

Thema: Denial of Service Holger Kaßner

PING Flooding

O pfer

Angreifer

D ritter

Angreifer

O pfer

O pfer

Angreifer

H eader D aten vorgetäuschte D atenI CM P-Echo-Reply

Thema: Denial of Service Holger Kaßner

DDoS

Distributed Denial of Service Koordinierte DoS-Attacken Effektiver als DoS

Opfer: Yahoo, eBay

Thema: Denial of Service Holger Kaßner

Funktionsweise

Thema: Denial of Service Holger Kaßner

Angreifer

H andler H andlerH andler

Agent AgentAgentAgentAgent AgentAgent

O pfer

Weiterentwicklung

Verschleierung der Kommunikation: Variable Portnummern bei TCP und

UDP Verschlüsselung „Wartbarkeit“ durch Updates von

Handlern und Agenten

Thema: Denial of Service Holger Kaßner

Gegenmaßnahmen

Keine, nur Möglichkeiten nicht zum Handler oder Agenten zu werden: Konservative Systemkonfiguration Zeitnahes Einspielen von

Sicherheitspatches Dienste auf notwendigen Netzbereich

beschränken Verwendung von Verschlüsselung für

Authentifikation und Kommunikation

Thema: Denial of Service Holger Kaßner

Fazit

cert.dfn.de: „Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von offenen Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich.“

(cert = Computer Emergence Response Team)

Thema: Denial of Service Holger Kaßner

Abschluß

Thema: Denial of Service Holger Kaßner

http://schaedlinge.ptol.de