Reale Angriffsszenarien Clientsysteme, Phishing & Co.

Größe: px

Ab Seite anzeigen:

Download "Reale Angriffsszenarien Clientsysteme, Phishing & Co."

Innozenz Hauer
vor 8 Jahren
Abrufe

1 IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien Clientsysteme, Phishing & Co. hans-joachim.knobloch@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1

2 Inhalt Viren Construction Kits Trojaner / Inside-Out U3-Sticks Phishing, Pharming Security Consulting GmbH, Karlsruhe Seite 2

3 Viren Construction Kits Security Consulting GmbH, Karlsruhe Seite 3

4 Erzeugung von Viren & WürmernW Im Internet frei verfügbar, leicht zu bedienen Verbreitung der Viren leicht durchführbar Programmierkenntnisse nicht erforderlich Individuelle (Firmen-) Viren durch Scanner kaum erkennbar Security Consulting GmbH, Karlsruhe Seite 4

Programmierkenntnisse nicht erforderlich Individuelle (Firmen-)

5 Trojaner / Inside-Out Security Consulting GmbH, Karlsruhe Seite 5

6 Trojaner Features Kleine Programme, die an nützliche Anwendungen (z. B. WINWORD.EXE) angehängt werden Führen im Hintergrund (ohne Wissen des Anwenders) eine Schadensroutine aus Versuchen meist, gezielt zu agieren Viren & Würmer dagegen haben gewisse Zufallskomponenten Reproduzieren sich in Reinform nicht selbständig Ein Trojaner besteht immer aus mehreren Teilen Server zur Steuerung des infizierten Computers Construction-Kit zum Anhängen des Servers an Programme, Dateien Client zur Fernsteuerung der Schadensfunktionen Grenzen zu Rootkits und anderer Malware verschwimmen Security Consulting GmbH, Karlsruhe Seite 6

dagegen haben gewisse Zufallskomponenten Reproduzieren sich in Reinform nicht selbständig Ein Trojaner besteht immer aus mehreren Teilen Server zur

7 Trojaner-Beispiel: Turkojan Client zur Steuerung des kompromittierten Computers vgl. Secorvo-Schulungsvideo Security Consulting GmbH, Karlsruhe Seite 7

8 Prinzip inside-out Verbindungen werden vom internen Netz i. d. R. von Clientsystemen aus initiiert Auf dem Clientsystem wird eine Datei zur Ausführung gebracht Z. B. per , Download oder CD/USB übertragen Verbindungen zu präparierten Systemen im Internet Oft verwendete Protokolle HTTP SSL/HTTPS SSH DNS Gefahren Ausspähung, Veränderung, Vernichtung von Daten Verwendung des Clientsystems zur Durchführung weiterer Angriffe Security Consulting GmbH, Karlsruhe Seite 8

per E-Mail, Download oder CD/USB übertragen Verbindungen zu präparierten Systemen im Internet Oft verwendete

9 Umgehung der Personal Firewall Trojaner Internet Explorer Internet Trojaner CreateThread Internet Explorer Internet Security Consulting GmbH, Karlsruhe Seite 9

10 Umgehung der Firewall HTTP Angriffslaptop Internet Angreiferwebserver DMZ HTTP Proxy HTTP Firewall-Systeme Internes Netzwerk Clientsystem et.exe wird ausgeführt Security Consulting GmbH, Karlsruhe Seite 10

Firewall-Systeme Internes Netzwerk Clientsystem et.

11 Gegenmaßnahmen nahmen inside-out (Restriktive Konfiguration Netzwerk-Firewall und Proxy) (Virenschutz) Einsatz Personal Firewall, restriktive Konfiguration Reduktion der Einfallswege Kein Download von Executables, Keine Wechseldatenträger Tests unbekannter Dateien/Daten nur in Testnetzsegmenten Mobile Geräte kontrollieren Kein Internetzugang (WWW, , DNS,...) für sehr sensitive Systeme Ausweichmöglichkeiten über Terminal Services für Internetzugang Awareness bei Mitarbeitern schaffen Ggf. eine der effektivsten und preisgünstigen Maßnahmen Security Consulting GmbH, Karlsruhe Seite 11

Testnetzsegmenten Mobile Geräte kontrollieren Kein Internetzugang (WWW, E-Mail, DNS,.

12 U3-Sticks Security Consulting GmbH, Karlsruhe Seite 12

13 U3 USB-Sticks Sticks Idee: Portable Anwendungen Mailclient Browser Office Verschlüsselungslösungen Virenschutz etc. Funktion: Zwei Laufwerke in einem Gehäuse CD-ROM (ISO-Datei) mit Autostart-Funktion und U3-Launcher USB-Stick mit Programm- und Datenbereich (Verzeichnisse) Security Consulting GmbH, Karlsruhe Seite 13

Funktion: Zwei Laufwerke in einem Gehäuse CD-ROM (ISO-Datei) mit

14 Sicherheitsrisiken Generell: Kenntnisnahme durch Unbefugte bei unverschlüsselter Speicherung vertraulicher Daten und Zugriffsmöglichkeit Verlust, Diebstahl Kopie der Daten beim Einstecken in ein Fremdsystem Erstellung eines (forensischen) Image inklusiver gelöschter Dateien beim Einstecken in ein Fremdsystem USB Dumper Autorun-Funktion ermöglicht Ausführung von Programmen ohne Benutzerinteraktion U3 Launcher (Automatisiertes Startmenü) Austausch der ISO-Datei und Starten beliebiger Programme Security Consulting GmbH, Karlsruhe Seite 14

inklusiver gelöschter Dateien beim Einstecken in ein Fremdsystem USB Dumper Autorun-Funktion ermöglicht Ausführung von Programmen ohne

15 Ablauf bei Verwendung des Sticks User insert U3 Stick SecChec wird automatisch gestartet, installiert sich persistent auf dem Opferrechner und überträgt vertrauliche Daten mit dem Internet Explorer nach außen Internet Security Consulting GmbH, Karlsruhe Seite 15

Opferrechner und überträgt vertrauliche Daten mit dem Internet

16 Gegenmaßnahmen nahmen U3-Sticks Autorun deaktivieren Für CDs Für sämtliche Laufwerke Über GPO (Aktueller Virenschutz) (Personal Firewall) Unbekannte USB-Sticks und weitere Datenträger nicht einfach verwenden Ich nehme ja auch keine fremde Zahnbürste in den Mund! Autorun für CD deaktivieren HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom: Wert von Autorun auf 0 setzen Autorun für alle Laufwerke deaktivieren Autorun über GPO deaktivieren Security Consulting GmbH, Karlsruhe Seite 16

$Autorun für CD deaktivieren HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom: Wert von Autorun auf 0 setzen Autorun für alle Laufwerke$

17 Phishing, Pharming Security Consulting GmbH, Karlsruhe Seite 17

18 Phishing Ausnutzung von Neugier Fehlendem Sicherheitsbewusstsein Mangelnder Aufklärung und verwirrenden Benutzerschnittstellen Technischer Undurchschaubarkeit Erkennung teilweise schwer Kommt angeblich von der Administration Kommt angeblich von Kunden Kommt angeblich von Lieferanten Durch Verkettung von Schwachstellen leicht realisierbar Letztlich eine Form des Trickbetrugs Security Consulting GmbH, Karlsruhe Seite 18

Administration Kommt angeblich von Kunden Kommt angeblich von Lieferanten Durch Verkettung von

19 Phishingbeispiele Security Consulting GmbH, Karlsruhe Seite 19

20 Phishingbeispiele Security Consulting GmbH, Karlsruhe Seite 20

21 Phishingbeispiele Phishingbeispiele Link zum Phishing-IQ-Test: (deutsche Version) (englische Version) Security Consulting GmbH, Karlsruhe Seite 21

22 Pharming Umleitung von Webseiten auf manipulierte Seiten Ein möglicher Trick für Phishing Trickbetrug Auch als Element für andere Angriffe nutzbar Unterschiedliche Angreifer-Ziele Passwörter Unbemerkte Installation von Spyware/Keylogger/Trojaner Verwirrung Realisierung durch Schwachstellen Im Internet-Browser Falsche oder fehlende Dateiberechtigungen Freigaben Security Consulting GmbH, Karlsruhe Seite 22

23 Pharming Beispiel Host-Datei verändert Aufruf von führt zu Security Consulting GmbH, Karlsruhe Seite 23

24 Gutes Pharming als Workaround Beispiel Host-Datei verändert Aufruf von banners.advertmedia.de führt zu... Host-Dateien auf unterschiedlichen Plattformen Windows XP: C:\Windows\System32\Drivers\Etc Windows NT/2000 C:\Winnt\System32\Drivers\Etc Windows 95/98/Me C:\Windows Unix/Linux: /etc/hosts Quelle Security Consulting GmbH, Karlsruhe Seite 24

25 Fazit Clients werden immer öfter das Ziel von Angreifern Betriebssystem Anwendungen Mensch Angriffsmethoden sind oft kreativ Personal Firewalls sind erforderlich und sinnvoll Zusätzliche Sicherheit durch erweiterte Funktionen wie Überwachung von Programmaufrufen und IDS-Funktionalität Grenzen von Firewalls müssen beachtet werden Zusätzliche organisatorische Maßnahmen und Ressourcen nicht vernachlässigen Policy, Richtlinien Awareness Security Consulting GmbH, Karlsruhe Seite 25

26 Security Consulting GmbH, Karlsruhe Seite 26

Ähnliche Dokumente

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten AVM GmbH Alt-Moabit 95 D-10559 Berlin Faxversand mit dem FRITZ! LAN Assistenten Mit dem FRITZ! LAN Assistenten können Sie einen Computer als FRITZ!fax Server einrichten, über den dann Faxe von anderen