Upload
aglaja-rech
View
112
Download
0
Embed Size (px)
Citation preview
Viren, Trojanische Pferde & Denial of Service Attacken
Matthias Neeland
Björn Mahn
Holger Kaßner
Viren – Übersicht
Definition: Virus Arten Klassifikation Funktionsweise Infektion und Verbreitung Aufstöbern und entfernen Fazit
Thema: Viren Matthias Neeland
Definition: Virus
1972 Begriff Virus Science Fiction Geschichte
1980 Diplomarbeit „Selbstreproduktion bei Programmen“
1983 Doktorarbeit Begriff Virus etabliert
Thema: Viren Matthias Neeland
Definition: Virus
Schlagworte: Programm Replikat Trigger Auslöser Payload Wirkteil
Programm das repliziert
Thema: Viren Matthias Neeland
Virenarten
Der Standard-Virus
Nutzprogramm
Replikator
(Auslöser)
Wirkteil
Thema: Viren Matthias Neeland
Virenarten
Minen (Bomb) Keine Replikation!
(Auslöser)
Wirkteil
Thema: Viren Matthias Neeland
Virenarten
Pilz (Myko) Pilz = Mine + Replikator
Replikator
(Autostarter)
(Auslöser)
Wirkteil(Auslöser)
Wirkteil
(Auslöser)
Wirkteil
Thema: Viren Matthias Neeland
Virenarten
Wurm Makro-/Dokumentenvirus Systemviren
Boot-Viren Boot-Sektor-Viren ...
Thema: Viren Matthias Neeland
Verteilung 2001
Thema: Viren Matthias Neeland
Würmer52%
Boot14%
File1%
Makro28%
Trojaner5%
Klassifikation
Hoax (engl.) (Zeitungs-)Ente
harmlos gefährlich
Thema: Viren Matthias Neeland
Funktionsweise
Auslöser (Trigger) Wirkteil (Payload)
Kopierteil (Replikator) Autostarter
Thema: Viren Matthias Neeland
Funktionsweise
Beispiel Cascade 1701
Programmdatei Virus
Sprung-befehl
Ver-/Ent-schlüsseln
Thema: Viren Matthias Neeland
Infektionsmechanismen
Diskette Raubkopien Dubiose Software Mailboxen Netzwerke Shareware, Public Domain
Thema: Viren Matthias Neeland
Ausbreitungsmechanismen
Replikation Vervielfältigung 1-zu-1 Polymorphie
Anhängen an Dateien Mail
Thema: Viren Matthias Neeland
Aufstöbern & Entfernen
Virenscanner bekannte Viren Signatur
Checker Gültigkeitsprüfung Virus bleibt unbekannt
Blocker Alarmfunktion
Thema: Viren Matthias Neeland
Fazit
Was können Viren?
Was nicht?
Vorsorge – Besser ist das!
Thema: Viren Matthias Neeland
Trojanische Pferde
Thema: Trojanische Pferde Björn Mahn
Trojaner – Übersicht
Was ist ein Trojaner? Typen bzw. Klassifikationen
Backdoors Demonstration (Sub7)
Infektionsmechanismen Aufstöbern und Entfernen Rechtslage
Thema: Trojanische Pferde Björn Mahn
Was ist ein Trojaner?
Benutzer
Programm
Thema: Trojanische Pferde Björn Mahn
Was ist ein Trojaner?
Unterschied zu Viren Ist selbständig Keine Replikation
Trägerprogramm Replikation Trägerprogramm ist nur „Tarnung“
Thema: Trojanische Pferde Björn Mahn
Nicht verwechseln!
Backdoor spezieller Trojaner Logische Bombe kein Trojaner
Trägerprogramm normale SW Auslösungszeitpunkt/ -ereignis
Easter Egg harmlose Form einer log. Bombe
Thema: Trojanische Pferde Björn Mahn
Typen bzw. Klassifikationen
Normal
Autostart
Thema: Trojanische Pferde Björn Mahn
Kombinationen
Spione
Backdoors
Dropper
Typen bzw. Klassifikationen
Normal
Thema: Trojanische Pferde Björn Mahn
Kombinationen
Spione
Backdoors
Dropper
Backdoors
BackdoorServer
BackdoorClient
Internet
ahnungsloserBenutzer
Hacker
API u. Daten (Anf.)
Daten
Zugangsdaten
Thema: Trojanische Pferde Björn Mahn
Demonstration
Thema: Trojanische Pferde Björn Mahn
Demonstration
Sub7Server
Sub7Client
LAN
ahnungsloserBenutzer
Hacker
Thema: Trojanische Pferde Björn Mahn
Infektionsmechanismen
Keine eigenständige Ausbreitung Trägerprogramm: Mail, IRC etc.
Toolkits Demonstration
Thema: Trojanische Pferde Björn Mahn
Aufstöbern und Entfernen
“.... ist ein Programm, welches dem Benutzer eine gewisse Funktion vorspiegelt (Tarnung), jedoch eine andere (schädliche) ausführt.”
Thema: Trojanische Pferde Björn Mahn
Aufstöbern und Entfernen
Allgemein Siehe Definition unmöglich
Dropper Virenscanner/ -monitor
Spione und Backdoors Firewall Systemübersicht/ -pflege
Thema: Trojanische Pferde Björn Mahn
Aufstöbern und Entfernen
Systemübersicht/ -pflege Auffällige Veränderungen im FS
• Screenshots, „key.log“ Autostart (Spione und Backdoors)
• Windows-Registrierung, etc.• System.ini: shell=Explorer.exe
„Netstat –an“
Thema: Trojanische Pferde Björn Mahn
Rechtslage
§ 202a StGB Ausspähen von DatenWer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Thema: Trojanische Pferde Björn Mahn
Rechtslage
§ 202a StGB DatenveränderungWer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.Der Versuch ist strafbar.
Thema: Trojanische Pferde Björn Mahn
Denial of Service Attacken
Thema: Denial of Service Holger Kaßner
DoS – Übersicht
Was ist DoS? Welchen Zweck hat DoS? Welche Arten gibt es? DDoS Gegenmaßnahmen Fazit
Thema: Denial of Service Holger Kaßner
Was ist DoS?
Denial of Service (Dienstblockade)
Ist die gewollte Überlastung eines Dienstes bzw. Servers, welche durch Dritte verursacht wird
Thema: Denial of Service Holger Kaßner
Welchen Zweck hat DoS?
Server zu überlasten Server komplett lahm legen
Server ist nicht mehr verfügbar es entsteht z.B. wirtschaftlicher
Schaden, wenn dies mit Servern großer Firmen geschieht.
Thema: Denial of Service Holger Kaßner
Welche Arten gibt es?
UDP Packet Storm
TCP SYN Flooding
PING Flooding
Thema: Denial of Service Holger Kaßner
UDP Packet Storm
Große Anzahl (korrekter) Pakete wird an das Zielsystem geschickt, welches dann unter Last ausfallen kann.
Thema: Denial of Service Holger Kaßner
TCP SYN Flooding
Aufbau (gefälschter) Verbindungen, die sofort wieder abgebrochen werden
Thema: Denial of Service Holger Kaßner
TC P-Q ue lle TC P-Zie lSEQ = 4711FLAG S = SYN
SEQ = 5010AC K = 4712FLAG S = SYN, AC KSEQ = 4712
AC K = 5011FLAG S = AC K
PING Flooding
System wird mit (gefälschten) ICMP-Echo-Reply-Paketen belastet
Bei gefälschter Größe kann bei manchen Systemen zu weiteren Störungen führen
Mit gefälschter Absenderadresse kann dieses oder ein anderes System zusätzlich belastet werden
Thema: Denial of Service Holger Kaßner
PING Flooding
O pfer
Angreifer
D ritter
Angreifer
O pfer
O pfer
Angreifer
H eader D aten vorgetäuschte D atenI CM P-Echo-Reply
Thema: Denial of Service Holger Kaßner
DDoS
Distributed Denial of Service Koordinierte DoS-Attacken Effektiver als DoS
Opfer: Yahoo, eBay
Thema: Denial of Service Holger Kaßner
Funktionsweise
Thema: Denial of Service Holger Kaßner
Angreifer
H andler H andlerH andler
Agent AgentAgentAgentAgent AgentAgent
O pfer
Weiterentwicklung
Verschleierung der Kommunikation: Variable Portnummern bei TCP und
UDP Verschlüsselung „Wartbarkeit“ durch Updates von
Handlern und Agenten
Thema: Denial of Service Holger Kaßner
Gegenmaßnahmen
Keine, nur Möglichkeiten nicht zum Handler oder Agenten zu werden: Konservative Systemkonfiguration Zeitnahes Einspielen von
Sicherheitspatches Dienste auf notwendigen Netzbereich
beschränken Verwendung von Verschlüsselung für
Authentifikation und Kommunikation
Thema: Denial of Service Holger Kaßner
Fazit
cert.dfn.de: „Ein wirksamer Schutz vor Angriffen auf die Verfügbarkeit von offenen Systemen ist mit informationstechnischen Mitteln prinzipiell nur sehr eingeschränkt möglich.“
(cert = Computer Emergence Response Team)
Thema: Denial of Service Holger Kaßner
Abschluß
Thema: Denial of Service Holger Kaßner
http://schaedlinge.ptol.de