30 Stundenwoche für Europa! Kann Arbeitszeitverkürzung die Arbeitslosigkeit beseitigen?
Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security -...
-
Upload
charlotte-bieber -
Category
Documents
-
view
213 -
download
0
Transcript of Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security -...
Trojanische Pferde
Erkennen und Beseitigen
Sophie Stellmach,Ulrike Zenner
Proseminar IT-Security - WS 2004 / 2005
Quelle: http://www.designerspiele.de
Sophie Stellmach & Ulrike Zenner
Seite 2
Inhalt
• kurze Übersicht zu Trojanischen Pferden
• Erkennen und Beseitigen - softwaregesteuert- manuell- zentral
• spezielle Trojaner (Rootkits)• Trojanische Pferde unter LinuxSeite
Sophie Stellmach & Ulrike Zenner
Seite 3
Was ist ein Trojanisches Pferd?
„Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in
einem System unbemerkt Schadsoftware (Malware) oder Ähnliches
einschleusen.Zitat,
http://de.wikipedia.org/
Sophie Stellmach & Ulrike Zenner
Seite 4
Übersicht zu Trojanern
• eigentlich „Trojanisches Pferd“• meist im Hintergrund• unerwünschte Aktionen, wie bspw.:
- Ausspionieren von Benutzerdaten- Löschen wichtiger Dateien- totale Übernahme des Systems
Sophie Stellmach & Ulrike Zenner
Seite 5
Übersicht zu Trojanern (2)• keine aktive Weiterverbreitung
- gezielte Einschleusung - vom Benutzer unbewusst selbst
installiert (Shareware / Freeware, E-Mail-Anhänge...)
• viele verschiedene Varianten- Backdoor, Adware, Spyware, Rootkits,
Key Logger, Dialer...
Sophie Stellmach & Ulrike Zenner
Seite 6
Erkennen eines Trojaners
Ausganssituation: Trojanisches Pferd befindet sich
bereits auf dem PC
Anmerkung:Es existiert keine 100%ig
wirksame Erkennungsmethode gegen Trojaner!
Sophie Stellmach & Ulrike Zenner
Seite 7
SchutzmechanismenVersteckenPolymorphismus
•Modifizierung des böswilligen Codes•Erhaltung der Funktionalität
Metamorphismus•Modifizierung des böswilligen Codes •Veränderung der Funktionalität
Deaktivierung der Anti-Trojaner-Software
Sophie Stellmach & Ulrike Zenner
Seite 8
1. Software-gesteuerte Suche
1. Trojaner-Scanner2. Logging Mechanismen3. Hashwert-Berechnung4. SandBox-Technologie
Sophie Stellmach & Ulrike Zenner
Seite 9
1.1. Trojaner - Scanner
• Trojaner hat eindeutige Signatur• falls Trojaner entdeckt wird,
analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion
• Update der Anti-Trojaner-Datenbank mit diesen Daten
Sophie Stellmach & Ulrike Zenner
Seite 10
Einfaches Beispiel
1. Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank
2. also: Suche in spezieller Registry nach „Hey there :-)“
3. Satz enthalten -> Computer mit X verseucht
Annahme: Trojanisches Pferd X schreibt als
Merkmal „Hey there :-)“ in Windows-Registry
Sophie Stellmach & Ulrike Zenner
Seite 11
ProblematikKopie / technische
Spezifikationen des Trojaners müssen vorhanden sein
Viren relativ leicht aufspürbar- monatl. ca. 500–2000 neue Computerviren- kopieren sich selbst weiter- tausende Computer in kurzer Zeit infiziert- Resultat: „anormale Aktivitäten“
Trojanische Pferde: - bleiben meist unerkannt
Sophie Stellmach & Ulrike Zenner
Seite 12
Beispiel: Ad-Aware
Sophie Stellmach & Ulrike Zenner
Seite 13
1.2. Logging-Mechanismen
• Protokollierung von Systemmeldungen• zum Erkennen von Abweichungen vom
bekannten „Sollzustand“ des Systems
Quelle: „Hacker Contest“, Markus Schumacher, 2003
Sophie Stellmach & Ulrike Zenner
Seite 14
1.3. Hashwert-Berechnung vorab festgelegte Hash-Funktion Berechnung und Sicherung von
„Modification Detection Code“ (MDC) Bildung einer Basis
Überprüfung auf Manipulation- erneute Berechnung- Vergleich mit Basis- falls Übereinstimmung, dann keine
Manipulation
Sophie Stellmach & Ulrike Zenner
Seite 15
Beispiel: TripWire
Quelle: http://www.tripwire.com/
Sophie Stellmach & Ulrike Zenner
Seite 16
1.4. SandBox-Technologie
• Hauptmerkmal: Simulation und Früherkennung
• Transfer und Ausführung verdächtiger Dateien in virtuellem Computer
• Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten
Sophie Stellmach & Ulrike Zenner
Seite 17
2. Manuelle Suche (Windows)
• Überprüfung - laufende Prozesse- Autostart- Win.ini, System.ini, autoexec.bat, Config.sys
(Systemkonfiguration)- Winstart.bat
• Standard-Fall: Windows-Registrierungeinträge
Sophie Stellmach & Ulrike Zenner
Seite 18
Win-Registry
Sophie Stellmach & Ulrike Zenner
Seite 19
Vergleich mit Win-Registry
1. Sicherung der Regristrierungsdateien
2. leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien
Sophie Stellmach & Ulrike Zenner
Seite 20
3. Zentrale Suche
• Attacken auf Netzwerke• Intrusion Detection System
Sophie Stellmach & Ulrike Zenner
Seite 21
Attacken auf NetzwerkeNormalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf
Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html
Sophie Stellmach & Ulrike Zenner
Seite 22
Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> DistributedDenial ofService = DDoS
Attacken auf Netzwerke (2)
Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html
Sophie Stellmach & Ulrike Zenner
Seite 23
Intrusion Detection System
• vom Militär entwickelt • Erkennen bekannter Attacken
(Signaturen)• Probleme in der Praxis:
falsche Warnungen / Nichterkennung von Attacken
• Aufteilung in HIDS und NIDS
Sophie Stellmach & Ulrike Zenner
Seite 24
Hostbasierte IDS (HIDS)• scannt Systemdaten• Erkennen und Loggen von Angriffen• Vorteile:
- viele Details über Angriff- umfassende Überwachung
• Nachteile: - DoS hebelt HIDS aus- hohe Lizenzkosten- Beendung von HIDS bei Systemabsturz
Sophie Stellmach & Ulrike Zenner
Seite 25
Netzwerkbasierte IDS (NIDS) überwacht mit einem Sensor ein
Teilnetzwerk Vorteile:
– Erkennen von Angriffen, die Firewall umgehen
– eigenständiges System -> kein Leistungsverlust
Nachteile: - keine lückenlose Überwachung
garantiert
Sophie Stellmach & Ulrike Zenner
Seite 26
Sicherheitsstrategie
1. Gateway-Malware-Scanner, um eMails, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle)
2. Nutzung mehrerer Anti-Trojaner-Engines
Sophie Stellmach & Ulrike Zenner
Seite 27
Spezielle Trojaner: Rootkits
schlimmste Art von Trojanern verschaffen Angreifer volle Kontrolle
über das befallene System können ihre eigene Existenz nahezu
perfekt verschleiern beliebte Verstecke:
- in DLLs (Dynamic Link Libraries)- Tarnung als Gerätetreiber
Sophie Stellmach & Ulrike Zenner
Seite 28
Vorgehen gegen Rootkits• handelsübliche Trojaner-Scanner
versagen meist- nur effektiv, wenn Signatur des Trojaners
vor dessen Installation bekannt- somit schon Verhinderung seiner
Installation • einziger Schutz ist also:
ständiger Betrieb eines Trojaner-Scanners mit stets aktueller Datenbank
Sophie Stellmach & Ulrike Zenner
Seite 29
Linux - Nutzerrechte
• Linux: Multiuser-System mit unterschiedlichen Nutzerrechten
• Root=Superuser (Administratorrechte)• jeder Prozess durch Nutzerrechte
eingeschränkt• normale User können System nicht
beeinträchtigen
Sophie Stellmach & Ulrike Zenner
Seite 30
Kritische Systemverzeichnisse
● /bin und /sbin -> elementare Systemprogramme,
vlg. c:\windows\system● /usr
-> Anwenderprogramme● /etc
-> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry
● alle ohne root-Zugang schreibgeschützt
Sophie Stellmach & Ulrike Zenner
Seite 31
Zusammenfassung
• kurze Erläuterung zu Trojanischen Pferden
• Schutzmechanismen• Erkennen und Beseitigen mit Hilfe
von Software• manuelle und zentrale Suche• Rootkits• Linux
Sophie Stellmach & Ulrike Zenner
Seite 32
Quellenangaben (1)
Internet-Links• http://www.univie.ac.at/comment/arch/04-1/041_10.html• http://www.pc-special.de/?idart=2060• http://de.wikipedia.org/wiki/Trojaner_%28Computer%29• http://www.emsisoft.de/de/kb/articles/tec040105 • http://source-center.de/forum/archive/index.php/t-1471.html• http://www.internetfallen.de/Hacker-Cracker/Trojaner/
Trojaner_Entfernen/trojaner_entfernen.html• http://www.ap.univie.ac.at/security/
opsys_windows_general_registry_keys.html• http://www.gfisoftware.de/de/whitepapers/network-protection-
against-trojans.pdf
Sophie Stellmach & Ulrike Zenner
Seite 33
Quellenangaben (2)Internet-Links• http://www.designerspiele.de/ReneVaplus/Looser/Trojaner/
trojaner.htm• http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-
attacken.html• http://www.itseccity.de/?url=/content/produkte/antivirus/
040808_pro_ant_normans.html• http://www.vhm.haitec.de/konferenz/1999/linux-malware/
welcome.htm
Bücher „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 „Malware. Fighting Malicious Code.“, E. Skoudis, 2003
Sophie Stellmach & Ulrike Zenner
Seite 34
Das war‘s…