Aufbau einer besseren Sandbox

Größe: px
Ab Seite anzeigen:

Download "Aufbau einer besseren Sandbox"

Transkript

1 Whitepaper Aufbau einer besseren Sandbox Eine funktionierende Strategie für umfassenden Malware-Schutz

2 Inhaltsverzeichnis Die parallele Evolution von Malware und Erkennungsanalysen 3 Dynamische und statische Analyse im Vergleich 3 Leistungsdruck 3 Stufe 1: Erkennung bekannter Angriffe 4 Stufe 2: Schutz durch Echtzeit-Verhaltensanalyse 4 Stufe 3: Dynamische Analyse 5 Zielspezifische Sandbox 5 Die Bedeutung von Interaktion 5 Interpretation dynamischer Analysen 5 Stufe 4: Statische Code-Analyse 6 Packen, Entpacken und Reverse Engineering 7 Stufenweise Strategie für herausragenden Sandbox-Ansatz 9 2 Aufbau einer besseren Sandbox

3 Die parallele Evolution von Malware und Erkennungsanalysen Internetkriminelle und IT-Sicherheitsstrategen sind in einer immer engeren Spirale des Wettrüstens gefangen. Mit zunehmender Raffinesse und Verschleierungsfähigkeit von Malware, die zur Unterwanderung von IT-Umgebungen verwendet wird, kommen neue Technologien zum Einsatz, um selbst die am besten getarnten Nadeln im Heuhaufen zu finden. Eine der vielversprechendsten Entwicklungen auf der Defensivseite erfolgt im Bereich der Erkennung durch dynamische Analysen, auch als Sandbox bekannt. Derzeit sind zahlreiche solche Produkte verfügbar, und weitere stehen kurz vor der Einführung. Wenig überraschend weichen die Architekturansätze der führenden Anbieter erheblich voneinander ab, was auch an ihrer Rolle in der Sicherheitsstrategie liegt. Aktuell ist es schwierig, diese Technologien realistisch zu vergleichen oder auch nur sicherzustellen, dass selbst grundlegende Terminologien durchgängig Anwendung findet. In diesem Whitepaper wird eine logische Entwicklungsstrategie für dynamische Malware-Analysen vorgestellt, mit der die Effektivität, Effizienz sowie Wirtschaftlichkeit der Erkennung optimiert wird. Wir werden versuchen, die Grenzen der dynamischen Erkennung aufzuzeigen sowie ergänzende Methoden vorstellen, die für die Gewährleistung zuverlässiger Sicherheit notwendig sind. Zum Schluss schlagen wir wichtige Unterscheidungsmerkmale vor, die häufig aufgrund ungenauer Terminologien unklar sind. Dynamische und statische Analyse im Vergleich Der wahrscheinlich wichtigste Faktor bei jeder Untersuchung von Sandbox-Lösungen zur Analyse hochentwickelter Malware ist die Unterscheidung zwischen dynamischer und statischer Analyse. Bei der dynamischen Analyse werden ausführbare Dateien in einer sicheren (meist virtuellen) Umgebung ausgeführt. Dabei wird ihr Verhalten über einen definierten Zeitraum hinweg beobachtet, um auf diese Weise böswillige Dateien zu ermitteln. Wenn wir diesen Ansatz mit statischer Analyse vergleichen wollen, müssen wir zuerst einen häufigen Fehler bei der Benutzung dieses Begriffs ausräumen. Echte statische Analyse (die auch als statische Code-Analyse bezeichnet wird) trifft eine Vorhersage über das wahrscheinliche Verhalten einer ausführbaren Datei. Dazu führt sie eine detaillierte Untersuchung ihres Codes durch. Der Begriff statische Analyse wird häufig fälschlicherweise auf einfachere und weniger präzise Techniken angewandt, die als statische Dateianalysen bezeichnet werden und beispielsweise lediglich einen Teil des Datei-Headers oder nur die nicht verschleierten Dateiinhalte überprüfen. Diese Techniken bieten bei der Erkennung hochentwickelter Malware nur begrenzt Nutzen. Wenn wir also von statischer Analyse sprechen, bezeichnen wir Methoden zur Extrahierung, Untersuchung und Analyse des vollständigen Codes einer Datei. Der dynamische und der echte statische Ansatz haben jeweils Stärken und Schwächen. Die dynamische Analyse kann Malware durch direkte Beobachtung ihres Verhaltens mit hoher Zuverlässigkeit erkennen. Sie bietet die zuverlässigste Möglichkeit zur präzisen Entdeckung verborgener Bedrohungen in komplexen ausführbaren Dateien, kann jedoch mithilfe verschiedener Strategien problemlos überlistet werden. Da der Beobachtungszeitraum in einer Sandbox-Untersuchung durch wirtschaftliche Gesichtspunkte eingeschränkt wird, muss eine Datei lediglich diese Zeitspanne aussitzen und den Beginn ihres böswilligen Verhaltens verzögern. Eine Datei kann auch so programmiert werden, dass sie eine sichere Umgebung durch das Fehlen (oder Vorhandensein) bestimmter Ressourcen erkennt und nur die Ausführung harmloser Aktivitäten vortäuscht. Die statische Untersuchung kann böswilligen Code deutlich weniger zuverlässig als die dynamische Analyse erkennen, da sie sich auf Schlussfolgerung anstatt auf Beobachtung verlässt. Dennoch bietet sie Einblick in ruhenden (also nicht ausgeführten) Code, der für eine dynamische Analyse vollkommen unsichtbar ist. Die statische Code-Analyse kann beispielsweise strukturelle Übereinstimmungen zwischen ruhendem Code und bekannten Malware-Exemplaren erkennen. Sie ermittelt den Anteil des Codes, der während der Sandbox-Überprüfung ausgeführt wird und kann sogar die logischen Ausführungspfade einer komplexen Datei nachvollziehen, ohne dazu den Code selbst auszuführen. Es überrascht immer wieder, wie sehr sich die Stärken und Schwächen statischer und dynamischer Analysen ergänzen. Obwohl bei Malware-Sandboxes dynamische Techniken zum Einsatz kommen, kann eine zuverlässige und präzise Erkennung nur dann erfolgen, wenn dynamische und echte statische Code-Analysen eng verzahnt zum Einsatz kommen. Daher muss eine effektive Sandbox gleichzeitig dynamisch und statisch arbeiten. Leistungsdruck Eine Eigenschaft, die dynamische und statische Code-Analysen gemein haben, ist die hohe Rechenlast. Das führt dazu, dass keines der beiden Verfahren in Echtzeit auf den Datenverkehr angewendet werden kann, sondern selektiv eingesetzt werden muss, um eine Verschlechterung der Netzwerk- und Anwendungsleistung zu vermeiden. Je nach Produkt und Hersteller können die Analysen mehrere Minuten oder sogar Stunden dauern. Es ist daher sinnvoll, ihnen ressourcenschonende Techniken voranzustellen, die einfach erkennbare Bedrohungen schnell und effizient abwehren können. Wir sind der Meinung, dass eine hocheffiziente und effektive Malware-Sandbox aus mehreren aufeinander folgenden Ebenen von Analysemodulen aufgebaut ist, die jeweils höhere Anforderungen an die Verarbeitungsleistung stellen. Alle unbekannten Dateien, die von Netzwerksicherheitssensoren erkannt werden, können zur Überprüfung an diesen Dienst weitergeleitet werden. Jede Datei passiert die aufeinander folgenden Analysemodule, wobei das schnellste und ressourcenschonendste Verfahren den Anfang macht. Sobald eine Ebene eine Datei als böswillig erkennt, blockiert sie diese Datei sofort und entfernt sie aus der Analysereihe. Dadurch reduziert sich die Zahl der zu analysierenden Dateien zunehmend immer weiter. 3 Aufbau einer besseren Sandbox

4 Umfassender mehrstufiger Ansatz für ein Gleichgewicht aus Schutz und Leistung Hochentwickelte Sandbox Statische und dynamische Code-Analyse Lokale Listen Virenschutz- Signaturen Weltweite Datei-Reputation Emulationsmodul Abbildung 1. Abgestufter Malware-Analyseprozess mit mehreren Modulen. Der Aufbau der Untersuchungsreihe sollte erweiterbar sein, um neue Erkennungstechnologien aufnehmen zu können. Dennoch kann der heutige Stand der Technik auch jetzt schon sehr gut durch eine Reihe dargestellt werden, beginnend bei der Erkennung bekannter Angriffe (Signaturen und Reputationsdienste), gefolgt von Echtzeit-Verhaltenserkennung (Heuristik und Emulation) und schließlich dynamischer und statischer Code-Analyse. Wir bezeichnen das als abgestufte Analysearchitektur. Im Folgenden stellen wir diese schrittweise Verarbeitungssequenz Stufe für Stufe vor. Stufe 1: Erkennung bekannter Angriffe Die beiden Malware-Erkennungstechniken, die bei der ersten Analysestufe eingesetzt werden, sind die ältesten und am weitesten verbreiteten. Sie sind auch am wenigsten rechenintensiv und erfolgen weitgehend in Echtzeit. Signaturbasierte Analysen bilden den Kern aller Virenschutzprodukte und bieten schnelle sowie zuverlässige Erkennung anhand eines Musterabgleichs mit einer Bibliothek bekannt böswilliger Code-Varianten. Reputationsdienste hingegen erfassen Informationen von bekannten Quellen früherer Angriffe, einschließlich Hashes der eigentlichen Malware, geografischer Standorte, Domänen, URLs und IP-Adressen. Dadurch bieten sie eine Grundlage zur Erkennung bekannter, unbekannter als auch Zero-Day-Angriffe, die aus bekannt böswilligen Vektoren stammen. Beide Techniken sind schnell, erfordern wenig Rechenleistung und bieten eine sehr zuverlässige Erkennung von Bedrohungen in Echtzeit. Wichtigste Merkmale dieser Techniken sind (1) eine umfangreiche Bibliothek von Signaturen bekannter Bedrohungen sowie (2) eine schnelle und zuverlässige Infrastruktur, die den Abruf neuer weltweiter Bedrohungsdaten und ihre Verteilung an lokale Sensoren möglich macht. Diese beiden Technologien (und zu einem geringeren Teil auch die in der weiter unten vorgestellten Stufe 2) sind bereits in den meisten Sicherheitsprodukten enthalten. Daher ist es sehr hilfreich, wenn die Sandbox-Verwaltung die Möglichkeit bietet, den von den jeweiligen Sensoren gemeldeten Dateien separat Analysemodule zuzuweisen, sodass beispielsweise die signaturbasierte Untersuchung eines IPS-Dienstes nicht erneut in der Sandbox durchgeführt wird. Stufe 2: Schutz durch Echtzeit-Verhaltensanalyse Auch in der zweiten Analysestufe werden zwei unterschiedliche Erkennungsmethoden eingesetzt: Heuristik und Emulation. Die heuristische Identifizierung erstellt mithilfe von Regeln und Verhaltensmustern generische Konstrukte und sucht nach Ähnlichkeiten zwischen einer verdächtigen Datei und Gruppen oder Familien von bekannten Bedrohungen. Bei der Emulation wiederum wird die Dateiausführung in einer abgespeckten Host-Umgebung simuliert und das Ergebnis protokolliert. Die Emulationsumgebung kann eine Teilmenge der Ressourcen von Prozessor, Arbeitsspeicher und Betriebssystem-API enthalten. Die Emulation wird manchmal als halbe dynamische Analyse (oder als Sandbox Light ) bezeichnet, ist jedoch erheblich weniger ressourcenintensiv und bietet Ergebnisse in Echtzeit. Heuristik und Emulation ermöglichen die Echtzeitidentifizierung bislang unbekannter Bedrohungen und sind nur minimal weniger zuverlässig als signaturbasierte Techniken. Sie umfassen Methoden wie eine teilweise Dekompilierung sowie das Entpacken von Code, doch da es sich um Echtzeitprozesse handelt, stehen für das Entpacken oder Reverse Engineering nur geringe Ressourcen zur Verfügung. Wir sollten darauf hinweisen, dass für unterschiedliche Inhalte (ausführbare Dateien, Shell-Code, JavaScript, HTML und Java) unterschiedliche sprachenspezifische Emulatoren erforderlich sind. Die Zuverlässigkeit und Effektivität eines Emulationsmoduls hängen unmittelbar von seinem Funktionsumfang ab. 4 Aufbau einer besseren Sandbox

5 Stufe 3: Dynamische Analyse Die dritte Stufe in unserer beispielhaften Sandbox-Architektur stellt den Scheideweg zwischen nahezu in Echtzeit ablaufenden Analysen und den ressourcenintensiveren Techniken dar, die eine unvermeidbare höhere Latenz bedingen. Hier werden Dateien, die in früheren Analysestufen nicht zweifelsfrei als böswillig identifiziert wurden, in einer sicher isolierten virtuellen Umgebung ausgeführt. Echte dynamische Analysen unterscheiden sich dadurch von Emulation, dass sie eine vollständige Laufzeitumgebung verwenden, die virtualisiert und isoliert ist, um potenziell böswilligen Code sicher ausführen und das beobachtete Verhalten anschließend protokollieren sowie klassifizieren zu können. Zielspezifische Sandbox Bei der Konfiguration der virtuellen Umgebungen für die Malware-Sandbox werden vor allem zwei Ansätze häufig genutzt. Die Unterschiede sind wichtig, da die meisten IT-Umgebungen eine Vielzahl an Hard- sowie Software-Plattformen umfassen und die meisten Malware-Exemplare auf eine bestimmte Betriebsumgebung oder Anwendung abzielen. Beim ersten Ansatz wird eine einzelne generische Umgebung virtualisiert und in allen Analysen eingesetzt. Dabei steigt jedoch die Gefahr, böswilliges Verhalten zu übersehen, das an bestimmte Ressourcen oder Konfigurationsparameter gebunden ist, die in einem generischen Abbild möglicherweise nicht vorhanden sind. Gleichzeitig ist diese Methode jedoch ressourcenschonend, da nur ein Analysevorgang erforderlich ist. Beim zweiten Ansatz werden mehrere Umgebungen virtualisiert (z. B. verschiedene Windows Server-Plattformen und Konfigurationen sowie eine Reihe von PC- und Mobilplattform-Abbildern). Verdächtige Exemplare werden in allen diesen Umgebungen ausgeführt. Doch auch diese Strategie birgt die Gefahr, die eigentliche Zielumgebung zu verfehlen. Zudem kann sie False-Positives erzeugen und ist um ein Vielfaches verarbeitungsintensiver. Es ist daher erheblich effektiver und effizienter, eine verdächtige ausführbare Datei in einer virtuellen Umgebung auszuführen, die weit genug mit dem System übereinstimmt, für das die Dabei bestimmt war. Bei diesem Ansatz müssen verschiedene Betriebssysteme verfügbar sein oder Gold-Abbilder aller Endgeräte-Plattformen in der Umgebung zum Import bereitstehen. Die Sandbox muss die Ziel-Host-Umgebung schnell erkennen und unverzüglich eine entsprechende VM starten können. Dies kann nicht über das Netzwerk erfolgen, sondern muss in die Endgerätesysteme integriert werden. Wenn diese Bedingungen erfüllt werden, steigt die Wahrscheinlichkeit erheblich, dass das volle potenzielle Verhalten einer verdächtigen Datei ausgelöst und beobachtet werden kann, um ihre Absichten genau zu analysieren. Die Bedeutung von Interaktion Damit die Absicht einer ausführbaren Datei während der Sandbox-Untersuchung vollständig ermittelt werden kann, muss die virtuelle Umgebung interaktiv auf das Verhalten der Datei reagieren, wie das auch in einem normalen Host-System der Fall wäre. Die Sandbox muss insbesondere die normale Host-Reaktion auf Netzwerkverbindungsanfragen automatisch emulieren. Wenn diese erwarteten Reaktionen ausbleiben, könnte die Malware das als Anzeichen dafür betrachten, dass sie in einer Sandbox analysiert wird, und entsprechende Verschleierungsmaßnahmen ergreifen. Daher müssen auch in der Sandbox Reputationsdienste verfügbar sein, sodass hochriskante Anfragen zum Zugriff auf bekannt gefährliche IP Adressen, URLs und Dateien sofort als sehr wahrscheinliche Bedrohungsindikatoren ermittelt werden. Neben der Interaktivität für automatisch ausgelöste Inline-Dateiuntersuchungen sollte für Sicherheitsanalysten ein vollständig interaktiver Modus für manuelle Offline-Analysen zur Verfügung stehen. In diesem Modus kann ein Analyst eine virtuelle Maschine manuell starten und ein Exemplar der ausführbaren Datei mit vollem KVM-Funktionsumfang ausführen. Häufig kann spezifisches Bedrohungsverhalten nur mithilfe der Möglichkeit zum Starten von Browser-Sitzungen und weiteren üblichen Arbeitsplatzanwendungen ausgelöst und beobachtet werden. Interpretation dynamischer Analysen Die ersten beiden Stufen unserer Untersuchung erzeugen einfache Ausgaben in Echtzeit. Eine unbekannte Datei wird mithilfe einer Signaturzuordnung schnell als bekannte Bedrohung erkannt oder in Echtzeit-Emulationsumgebungen als hinreichend böswillig eingestuft. In beiden Fällen wird eine Entweder-oder-Entscheidung über das Blockieren oder Zulassen getroffen. Ganz anders das Erstergebnis einer dynamischen Analyse: Hier wird eine Protokolldatei generiert, die nur durch Korrelation Aussagekraft erhält. Spezifische Verhaltensereignisse müssen identifiziert sowie aggregiert und ihre Bedeutung im Kontext anderer Ereignisse ermittelt werden. Die Ausgabe einer unternehmensgerechten Sandbox ist kein langes oder kompliziertes Protokoll und auch keine einfache Entscheidung über das Blockieren oder Zulassen. Ein nützliches Sandbox- Tool für Unternehmen muss einen aggregierten und organisierten Bericht erstellen, der relevantes Verhalten hervorhebt und klassifiziert sowie eine Gesamtbewertung vergibt. Diese Wertung kann eine Blockierungsentscheidung auslösen oder weitere Informationen aus einer nachfolgenden statischen Analyse erfordern. In jedem Falle erhalten Sicherheitsfachleute umsetzbare Informationen, anhand derer sie weitere Entscheidungen treffen können. 5 Aufbau einer besseren Sandbox

6 Datei durch Änderung ihrer Attribute versteckt Von Datei abgelegter erkannter ausführbarer Inhalt Ausführbaren Inhalt im temporären Administrator- Verzeichnis erstellt Von Microsoft: CreateURLMoniker kann Ergebnisse liefern, die nicht mit der Eingabe übereinstimmen und zu Sicherheitsproblemen führen können Speicherbereich im virtuellen Adressraum eines Fremdprozesses belegt Verbindungsversuch zu einem bestimmten Dienstanbieter Inhalte im Windows-Systemverzeichnis erstellt Durch aktive Inhalte im temporären Administrator-Verzeichnis verändert Symbol einer legitimen Systemanwendung abgerufen und verwendet Ausführbaren Inhalt im Windows- Verzeichnis erstellt Aktiven Inhalt aus dem Windows- Systemordner ausgeführt Rückruffunktion zur Kontrolle von System- und Computer-Hardware- Ereignissen festgelegt Daten von einem Web-Server heruntergeladen Dienstnamen in einem DDE-Server- Austausch (Dynamic Data Exchange) registriert (nicht registriert) Abbildung 2. Zusammenfassender Verhaltens- und Klassifizierungsbericht nach einer dynamischen Analyse. Stufe 4: Statische Code-Analyse Die letzte Stufe in unserer mehrstufigen Sandbox ist die echte statische Code-Analyse, die wir auch präziser als Listen- Code-Disassemblierungs-Analyse bezeichnen können. Dieser Prozess startet zusammen mit der dynamischen Analyse in Stufe 3 und verarbeitet einige Ergebnisse der dynamischen Untersuchung, sobald diese verfügbar sind. Wie bereits erwähnt, greifen die Untersuchungstechniken auf Stufe 2 (Heuristik und Emulation) auf den Quell-Code einer Datei zu. Bei diesen Echtzeitanalysen stehen jedoch nur wenige Ressourcen für das Extrahieren von verschleiertem oder gepacktem Code zur Verfügung. Diese umfassende forensische Untersuchung ist jedoch hier in Stufe 4 unser Ziel. Abbildung 3. Dynamische Analyse für sich allein ist nicht ausreichend. 6 Aufbau einer besseren Sandbox

7 Packen, Entpacken und Reverse Engineering Es gibt durchaus legitime Gründe für das Verbergen oder Verschleiern des kompilierten ausführbaren Codes eines Programms. Der offensichtlichste Grund ist der Schutz geistigen Eigentums. Software-Entwickler versuchen verständlicherweise, Mitbewerber am Reverse Engineering ihrer Produkte zu hindern. Dabei wird versucht, sich rückwärts vom öffentlich verfügbaren Assembler-Code zur Quelle zu arbeiten. Wenig überraschend bieten andere geschäftstüchtige Entwickler unterschiedlichste kommerzielle Tools so genannte Packer an, die dieses Reverse Engineering erheblich erschweren. Tools wie Themida oder Armadillo ermöglichen die einfache Implementierung von Maskierungs- und Randomisierungstechniken in kompiliertem Programm-Code, sodass es extrem schwer ist, den Assembler-Code zu rekonstruieren und damit auf die Quelle zuzugreifen. Malware-Entwickler mussten lediglich die Techniken der Software-Branche einsetzen, um die Unterscheidung ihrer verschleierten Angriffe von legitimen Dateien erheblich zu erschweren. Erschweren bedeutet jedoch nicht, dass es unmöglich wäre. Abbildung 4. Das Verschleierungsmenü von Themida, einem leistungsfähigen Packer-Tool für Windows-Anwendungen. In der vierten Stufe unserer Malware-Sandbox wird ein Reverse Engineering von gepackten und verschleierten Dateien durchgeführt, um intakte Versionen des kompilierten Assembler-Codes zu finden. Dieser Code wird anschließend analysiert und einer statischen Analyse unterzogen, die folgende Ergebnisse liefert: Eine Bewertung der Ähnlichkeit mit bekannten Malware-Familien Den Umfang des latenten Codes, der bei der dynamischen Analyse nicht ausgeführt wurde Eine logische Karte der vollständigen Ausführungspfade der Datei Aktuelle APTs (Advanced Persistent Threats, hochentwickelte hartnäckige Bedrohungen) sind meist Varianten von bekanntem und effektivem Malware-Code. Schon geringe Änderungen ermöglichen das Aushebeln der Signaturprüfung, die für die Erkennung eine hundertprozentige Übereinstimmung erfordert. Bei der Untersuchung des gesamten Codes wird anders als beim Vergleich mit einer Bibliothek bekannter Malware-Familien häufig stark getarnte Stealth-Malware entdeckt. Beispielsweise kann eine verdächtige Datei unwesentliche Kompromittierungsindikatoren aufweisen, die jedoch nicht schwerwiegend genug sind, um die Datei zu blockieren. Da aber eine Übereinstimmung von mehr als 70 Prozent mit einer bekannten Malware-Familie (zum Beispiel conficker oder voter_1) besteht, sollte die Datei blockiert werden. Ohne die statische Code-Analyse wäre diese Malware in das Netzwerk eingedrungen. 7 Aufbau einer besseren Sandbox

8 Abbildung 5. Ähnlichkeiten mit Malware-Familien sind ein deutlicher Hinweis auf böswillige Absichten. Auf ähnliche Weise versuchen APTs zunehmend, Informationen zur Umgebung abzurufen oder warten auf bestimmte Interaktionen, bevor sie aktiv werden. Das bedeutet, dass ein Großteil des verschleierten Malware-Codes während der dynamischen Analyse inaktiv sein kann. Doch selbst wenn das Verhalten dieses ruhenden Codes nicht ermittelt werden kann, ist diese Tatsache allein bereits ein wichtiger Hinweis für die Untersuchung eines Sicherheitsanalysten. Stellen Sie sich eine verdächtige Datei vor, die kein böswilliges Verhalten zeigt. Eine dynamische Analyse für sich allein würde ergeben, dass die Datei sicher ist. Doch was ist, wenn diese Datei eine mehr als 70-prozentige Ähnlichkeit mit einer bekannten Malware-Familie aufweist und mehr als 40 Prozent des Datei-Codes nicht aktiv ist oder nicht in der Sandbox analysiert wurde? Diese beiden Indizien reichen aus, um die Übertragung der Datei so lange zu blockieren, bis sie von einem Sicherheitsexperten untersucht wurde. Zusammenfassung des Verhaltens (nach Ausführung von 57 Prozent des Codes): Datei durch Änderung ihrer Attribute versteckt Von Datei abgelegter erkannter ausführbarer Inhalt Ausführbaren Inhalt im temporären Administrator- Verzeichnis erstellt Von Microsoft: CreateURLMoniker kann Ergebnisse liefern, die nicht mit der Eingabe übereinstimmen und zu Sicherheitsproblemen führen können Speicherbereich im virtuellen Adressraum eines Fremdprozesses belegt Verbindungsversuch zu einem bestimmten Dienstanbieter Inhalte im Windows-Systemverzeichnis erstellt Durch aktive Inhalte im temporären Administrator-Verzeichnis verändert Symbol einer legitimen Systemanwendung abgerufen und verwendet Ausführbaren Inhalt im Windows- Verzeichnis erstellt Aktiven Inhalt aus dem Windows- Systemordner ausgeführt Rückruffunktion zur Kontrolle von System- und Computer-Hardware- Ereignissen festgelegt Daten von einem Web-Server heruntergeladen Dienstnamen in einem DDE-Server- Austausch (Dynamic Data Exchange) registriert (nicht registriert) Abbildung 6. Ein erheblicher Anteil von ruhendem Code weist auf Lücken der rein dynamischen Analyse hin. Wenn ein menschlicher Eingriff notwendig ist, kann ein Diagramm der Dateioperationen wertvolle Hilfe bei der Forensik leisten. Im Gegensatz zu Protokolldateien oder Verhaltensbeobachtungen (also einer dynamischen Analyse) können Sicherheitsexperten anhand eines Diagramms verborgene Bereiche und Interaktionen des Codes untersuchen. Dies ist häufig der Schlüssel zu böswilligem, jedoch ruhendem Code, insbesondere wenn die Methode zusammen mit einer Sandbox eingesetzt wird, die eine manuelle Interaktion mit der verdächtigen Datei in einer virtuellen Maschine erlaubt. 8 Aufbau einer besseren Sandbox

9 Interaktive Code-Übersicht starten Blaue Linien kennzeichnen dynamisch ausgeführten Code. Rote Linien kennzeichnen statisch ausgeführten Code. Abbildung 7. Durch die Visualisierung von Dateiprozessen können Sicherheitsexperten latenten Code auslösen. Diese Ergebnisse fließen anschließend in die Beobachtungen der dynamischen Analyse aus Stufe 3 ein, um in einer Gesamtbewertung zu zeigen, mit welcher Wahrscheinlichkeit die untersuchte Datei böswillig ist. Stufenweise Strategie für herausragenden Sandbox-Ansatz Ein Erkennungsdienst für hochentwickelte Malware, der auf dem zuvor beschriebenen stufenweisen Ansatz basiert, stellt eine fortschrittlichere, zuverlässigere und kostengünstigere Lösung als alle anderen derzeit verfügbaren Angebote dar. Die Lösung vermeidet die Überlastung der Sandbox, indem sie mithilfe schneller und ressourcenschonender signaturbasierter Untersuchungen und Reputationsdienste bekannte und einfach zu erkennende Bedrohungen herausfiltert. Die zielspezifische Ausführung in einer Sandbox steigert die Effizienz und Genauigkeit der dynamischen Analyse erheblich. Und schließlich deckt echte statische Code-Analyse die Verschleierung auf und legt ruhenden sowie verborgenen Code offen. Zum ersten Mal in der abwechslungsreichen Geschichte der parallelen Evolution von Malware und Sicherheits-Software macht die Sicherheit einen großen Sprung nach vorn. Weitere Informationen finden Sie unter McAfee GmbH Ohmstr Unterschleißheim Deutschland +49 (0) McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Die in diesem Dokument enthaltenen Produktpläne, Spezifikationen und Beschreibungen dienen lediglich Informationszwecken, können sich jederzeit ohne vorherige Ankündigung ändern und schließen alle ausdrücklichen oder stillschweigenden Garantien aus. Copyright 2014 McAfee, Inc wp_build-sandbox_0214_fnl_ETMG

McAfee Advanced Threat Defense 3.0

McAfee Advanced Threat Defense 3.0 Versionshinweise McAfee Advanced Threat Defense 3.0 Revision A Inhalt Über dieses Dokument Funktionen von McAfee Advanced Threat Defense 3.0 Gelöste Probleme Hinweise zur Installation und Aktualisierung

Mehr

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing

G Data Whitepaper. Behaviour Blocking. Geschützt. Geschützter. G Data. Marco Lauerwald Marketing G Data Whitepaper Behaviour Blocking Marco Lauerwald Marketing Geschützt. Geschützter. G Data. Inhalt 1 Behaviour Blocking Mission: Unbekannte Bedrohungen bekämpfen... 2 1.1 Unbekannte Schädlinge: Die

Mehr

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht

McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht McAfee Total Protection for Endpoint Handbuch zur Schnellübersicht COPYRIGHT Copyright 2009 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche

Mehr

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte

Personal Firewall (PFW) und Virenscanner. Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Personal Firewall (PFW) und Virenscanner Präsentation von Gunawati A.-Tillmann, Miguel Lopez und Andreas Angelkorte Gliederung Personal Firewall Virenscanner 1. Zweck einer Firewall 2. Funktionsweise einer

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen

Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Custom Defense die Trend Micro Lösung für einen umfassenden und individuellen Schutz vor gezielten Angriffen Petra Flessa Product Marketing Manager DACH it-sa 2013 10/4/2013 Copyright 2013 Trend Micro

Mehr

visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation

visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation visionapp Platform Management Suite Save Event Version 2.0 Technische Dokumentation Copyright visionapp GmbH, 2002-2006. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen, Konzepte

Mehr

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN

DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN DIE NEUE LÖSUNG KASPERSKY SECURITY FOR VIRTUALIZATION FÜR VIRTUALISIERTE VMWARE-, MICROSOFT- UND CITRIX- UMGEBUNGEN April 2014 SICHERHEIT IN VIRTUALISIERTEN UMGEBUNGEN: WAHR ODER FALSCH?? FALSCH VIRTUALISIERTE

Mehr

Complete User Protection

Complete User Protection Complete User Protection Oliver Truetsch-Toksoy Regional Account Manager Trend Micro Gegründet vor 26 Jahren, Billion $ Security Software Pure-Play Hauptsitz in Japan Tokyo Exchange Nikkei Index, Symbol

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

KAV/KIS 2014 Global Messaging- Leitfaden

KAV/KIS 2014 Global Messaging- Leitfaden KAV/KIS 2014 Global Messaging- Leitfaden Headlines Kaspersky Internet Security 2014 Kaspersky Anti-Virus 2014 Premium-Schutz für den PC Essenzieller PC-Schutz Produktbeschreibung 15/25/50 Kaspersky Internet

Mehr

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management

McAfee Total Protection Vereinfachen Sie Ihr Sicherheits-Management McAfee Vereinfachen Sie Ihr Sicherheits-Management Seit der erste Computervirus vor 25 Jahren sein Unwesen trieb, hat sich die Computersicherheit dramatisch verändert. Sie ist viel komplexer und zeitaufwendiger

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch

26. November 2012. Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch 26. November 2012 Mehr Schutz für Bankkunden: RSA Adaptive Authentication On Premise verhindert Kontenmissbrauch Big-Data-Analyse erkennt Angriffe verursacht durch mehr als 30 Millionen Schadprogramme

Mehr

Systeme 1. Kapitel 10. Virtualisierung

Systeme 1. Kapitel 10. Virtualisierung Systeme 1 Kapitel 10 Virtualisierung Virtualisierung Virtualisierung: Definition: Der Begriff Virtualisierung beschreibt eine Abstraktion von Computerhardware hin zu einer virtuellen Maschine. Tatsächlich

Mehr

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere

Die Vorteile von Multicore-UTM. Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Die Vorteile von Multicore-UTM Umfassender Echtzeit-Schutz jenseits der Geschwindigkeitsbarriere Inhalt Netzwerksicherheit wird immer komplexer 1 UTM ist am effizientesten, wenn ganze Pakete gescannt werden

Mehr

Automated Deployment Services Setup

Automated Deployment Services Setup visionapp Platform Management Suite Automated Deployment Services Setup Version 5.1.5.0 Installation Guide Copyright visionapp GmbH, 2002-2006. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen

Mehr

Advanced Threats erkennen und untersuchen ÜBERBLICK

Advanced Threats erkennen und untersuchen ÜBERBLICK Advanced Threats erkennen und untersuchen ÜBERBLICK HIGHLIGHTS RSA Security Analytics bietet: Sicherheitsüberwachung Vorfallsermittlung Compliance-Reporting Sicherheitsanalysen für große Datenmengen Das

Mehr

TH0R Triage APT Forensic Scanner

TH0R Triage APT Forensic Scanner TH0R überprüft als sogenannter vollautomatisch Ihre Windows- sowie Linux-Serversysteme auf typische Spuren, die Hacker bei Angriffen hinterlassen, beispielsweise: Signaturen von Viren, Backdoors und Trojanern.

Mehr

Getestete Programme. Testmethode

Getestete Programme. Testmethode PDF-EXPLOIT XPLOIT V Welche Folgen hat das Öffnen einer PDF Datei, die ein Exploit enthält? Als Antwort ein kleiner Test mit sieben Programmen und einem typischen PDF-Exploit. Getestete Programme AVG Identity

Mehr

Dunkel Mail Security

Dunkel Mail Security Dunkel Mail Security email-sicherheit auf die stressfreie Art Unser Service verhindert wie ein externer Schutzschild, dass Spam, Viren und andere Bedrohungen mit der email in Ihr Unternehmen gelangen und

Mehr

Bericht. Bericht: Die Nadel im Datenhaufen

Bericht. Bericht: Die Nadel im Datenhaufen Bericht Bericht: Die Nadel im Datenhaufen Inhalt Fehlende Möglichkeit zur Erkennung von Sicherheitskompromittierungen 3 Empfohlene Vorgehensweisen für das Zeitalter umfangreicher Sicherheitsdaten 5 Methodik

Mehr

Virtualisierung ein Überblick

Virtualisierung ein Überblick Virtualisierung ein Überblick Frank Hofmann Potsdam 18. April 2007 Frank Hofmann (Potsdam) Virtualisierung ein Überblick 18. April 2007 1 / 33 Gedanken zum Thema Fragen, die sich jeder stellt Virtualisierung

Mehr

Computerviren, Würmer, Trojaner

Computerviren, Würmer, Trojaner Computerviren, Würmer, Trojaner Computerviren, Würmer und Trojaner zählen zur Familie unerwünschter bzw. schädlicher Programme, der so genannten Malware. Diese Programme können sich selbst verbreiten und

Mehr

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit

1 Hochverfügbarkeit. 1.1 Einführung. 1.2 Network Load Balancing (NLB) Quelle: Microsoft. Hochverfügbarkeit 1 Hochverfügbarkeit Lernziele: Network Load Balancing (NLB) Failover-Servercluster Verwalten der Failover Cluster Rolle Arbeiten mit virtuellen Maschinen Prüfungsanforderungen von Microsoft: Configure

Mehr

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz

Symantec Protection Suite Advanced Business Edition Mehr als nur Viren- und Endgeräteschutz Datenblatt: Endpoint Security Mehr als nur Viren- und Endgeräteschutz Überblick Symantec Protection Suite Advanced Business Edition ist ein Komplettpaket, das kritische Unternehmensressourcen besser vor

Mehr

Kosteneinsparungen bei IT-Sicherheit

Kosteneinsparungen bei IT-Sicherheit In Zahlen: So machen sich wirksamerer Endpunktschutz, höhere Leistung und geringere Systemlast bemerkbar Unter dem ständigen Druck, Produktivität und Kosteneffizienz zu steigern, wird von Unternehmen fortwährend

Mehr

DriveLock in Terminalserver Umgebungen

DriveLock in Terminalserver Umgebungen DriveLock in Terminalserver Umgebungen Technischer Artikel CenterTools Software GmbH 2011 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf

Mehr

IRS in virtualisierten Umgebungen

IRS in virtualisierten Umgebungen Lehrstuhl Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München IRS in virtualisierten Umgebungen Seminar: Future Internet Christian Lübben Betreuer: Nadine Herold, Stefan

Mehr

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen

Symantec Protection Suite Small Business Edition Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Eine benutzerfreundliche, effektive und kostengünstige Lösung für kleine Unternehmen Überblick Symantec Protection Suite Small Business Edition ist eine benutzerfreundliche, kostengünstige Sicherheits-

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Trojaner Als Trojaner wird eine Art von Malware bezeichnet, bei der es sich um scheinbar nützliche Software handelt, die aber neben ihrer

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

GeoShop Netzwerkhandbuch

GeoShop Netzwerkhandbuch Technoparkstrasse 1 8005 Zürich Tel.: 044 / 350 10 10 Fax.: 044 / 350 10 19 GeoShop Netzwerkhandbuch Zusammenfassung Diese Dokumentation beschreibt die Einbindung des GeoShop in bestehende Netzwerkumgebungen.

Mehr

Die fünf häufigsten Fehler Von Entwicklern bei der mobilen Programmierung

Die fünf häufigsten Fehler Von Entwicklern bei der mobilen Programmierung Die fünf häufigsten Fehler Von Entwicklern bei der mobilen Programmierung In 2015 werden mehr Tablet-Computer verkauft werden als Desktopund tragbare Computer zusammen Quelle: IDC, Mai 2013 Aufgrund der

Mehr

Prinzipien der Application Centric Infrastructure

Prinzipien der Application Centric Infrastructure Whitepaper Prinzipien der Application Centric Infrastructure Übersicht Eine der wichtigsten Innovationen der Application Centric Infrastructure (ACI) ist die Einführung einer hochabstrakten Schnittstelle

Mehr

Black-Hat Search Engine Optimization (SEO) Practices for Websites

Black-Hat Search Engine Optimization (SEO) Practices for Websites Beispielbild Black-Hat Search Engine Optimization (SEO) Practices for Websites Damla Durmaz - 29. Januar. 2009 Proseminar Technisch Informatik Leitung: Georg Wittenburg Betreuer: Norman Dziengel Fachbereich

Mehr

Handbuch zu AS Connect für Outlook

Handbuch zu AS Connect für Outlook Handbuch zu AS Connect für Outlook AS Connect für Outlook ist die schnelle, einfache Kommunikation zwischen Microsoft Outlook und der AS Datenbank LEISTUNG am BAU. AS Connect für Outlook Stand: 02.04.2013

Mehr

Parallels Workstation Extreme: Weltweit erste professionelle Virtualisierungslösung für native 3D-Grafik

Parallels Workstation Extreme: Weltweit erste professionelle Virtualisierungslösung für native 3D-Grafik Parallels Workstation Extreme: Weltweit erste professionelle Virtualisierungslösung für native 3D-Grafik Technologie-Allianz mit HP, Intel und NVIDIA ermöglicht Betrieb dedizierter Profi-Grafikkarten im

Mehr

AIDA64 Extreme. Konfigurationsanleitung. v 1.1 30. 07. 2014.

AIDA64 Extreme. Konfigurationsanleitung. v 1.1 30. 07. 2014. Konfigurationsanleitung v 1.1 30. 07. 2014. wird von der FinalWire GmbH. entwickelt. Copyright 1995-2014 FinalWire GmbH. Diese Konfigurationsanleitung wurde von der ABSEIRA GmbH. verfasst. Alle Rechte

Mehr

Outpost Anti Malware 7.5: Zuverlässiger Malware Schutz, verstärkt durch proaktive Sicherheits Tools Technote von Agnitum

Outpost Anti Malware 7.5: Zuverlässiger Malware Schutz, verstärkt durch proaktive Sicherheits Tools Technote von Agnitum Outpost Anti Malware 7.5: Zuverlässiger Malware Schutz, verstärkt durch proaktive Sicherheits Tools Technote von Agnitum Vorwort Durch die Komplexität und technische Ausgereiftheit heutiger Sicherheitsbedrohungen

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K.

ESET. Technologien und Produkte. Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. ESET Technologien und Produkte Patrick Karacic Support, Schulung, Projektbetreuung DATSEC Data Security e. K. Wer ist ESET? ESET, spol. s r.o. & Patrick Karacic DATSEC Data Security e. K. ESET, spol. s

Mehr

PDF FormServer Quickstart

PDF FormServer Quickstart PDF FormServer Quickstart 1. Voraussetzungen Der PDF FormServer benötigt als Basis einen Computer mit den Betriebssystemen Windows 98SE, Windows NT, Windows 2000, Windows XP Pro, Windows 2000 Server oder

Mehr

Avira Browser-Schutz (Erkennungen) Kurzanleitung

Avira Browser-Schutz (Erkennungen) Kurzanleitung Avira Browser-Schutz (Erkennungen) Kurzanleitung Inhaltsverzeichnis 1. Einleitung... 3 2. Beispielhafte Erkennungen... 4 3. Weitere Erkennungen... 5 4. Testmöglichkeiten - Browser-Schutz testen... 5 5.

Mehr

McAfee Data Loss Prevention Discover 9.4.0

McAfee Data Loss Prevention Discover 9.4.0 Versionshinweise Revision B McAfee Data Loss Prevention Discover 9.4.0 Zur Verwendung mit McAfee epolicy Orchestrator Inhalt Informationen zu dieser Version Funktionen Kompatible Produkte Installationsanweisungen

Mehr

WinStation Security Manager

WinStation Security Manager visionapp Platform Management Suite WinStation Security Manager Version 1.0 Technische Dokumentation Copyright visionapp GmbH, 2002-2006. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen,

Mehr

McAfee Security-as-a-Service -

McAfee Security-as-a-Service - Handbuch mit Lösungen zur Fehlerbehebung McAfee Security-as-a-Service - Zur Verwendung mit der epolicy Orchestrator 4.6.0-Software Dieses Handbuch bietet zusätzliche Informationen zur Installation und

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager End-to-end, mit hohem Funktionsumfang, anwendungsbasiertes und IP-Adressenverwaltung Optimierung der Verwaltung und Senkung der Verwaltungskosten mit dem Appliance Manager

Mehr

Sophos Computer Security Scan Startup-Anleitung

Sophos Computer Security Scan Startup-Anleitung Sophos Computer Security Scan Startup-Anleitung Produktversion: 1.0 Stand: Februar 2010 Inhalt 1 Einleitung...3 2 Vorgehensweise...3 3 Scan-Vorbereitung...3 4 Installieren der Software...4 5 Scannen der

Mehr

Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System

Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System Hochentwickelte gezielte Bedrohungen Bekämpfung erfordert ein integriertes System Der Echtzeit-Kontextaustausch ermöglicht frühe Angriffserkennung sowie adaptiven Bedrohungsschutz Inhalt Kurzfassung...3

Mehr

Sophos Virenscanner Konfiguration

Sophos Virenscanner Konfiguration Ersteller/Editor Ulrike Hollermeier Änderungsdatum 12.05.2014 Erstellungsdatum 06.07.2012 Status Final Konfiguration Rechenzentrum Uni Regensburg H:\Sophos\Dokumentation\Sophos_Konfiguration.docx Uni Regensburg

Mehr

KURZANLEITUNG FÜR DIE. Installation von Nokia Connectivity Cable Drivers

KURZANLEITUNG FÜR DIE. Installation von Nokia Connectivity Cable Drivers KURZANLEITUNG FÜR DIE Installation von Nokia Connectivity Cable Drivers Inhalt 1. Einführung...1 2. Voraussetzungen...1 3. Installation von Nokia Connectivity Cable Drivers...2 3.1 Vor der Installation...2

Mehr

HP USB Virtual Media Interface Adapter Informationen zur Funktionsweise

HP USB Virtual Media Interface Adapter Informationen zur Funktionsweise HP USB Virtual Media Informationen zur Funktionsweise Verwenden von virtuellen Medien HP empfiehlt den HP USB Virtual Media (Modell AF603A) nur für Computer, die keine Unterstützung für eine PS2-Tastatur

Mehr

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN

ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK ÜBER DIE WEBSENSE EMAIL SECURITY-LÖSUNGEN ÜBERBLICK Herausforderung Viele der größten Sicherheitsverletzungen beginnen heutzutage mit einem einfachen E-Mail- Angriff, der sich Web-Schwachstellen

Mehr

Avira Professional / Server Security. Date

Avira Professional / Server Security. Date Date Agenda Wozu benötige ich einen Virenschutz für Workstations/Server? Systemanforderungen der Avira Professional Security Was bietet die Avira Professional Security? Systemanforderungen der Avira Professional

Mehr

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2011 Inhalt 1 Endpoint Web Control...3 2 Enterprise Console...4

Mehr

Endpoint Web Control Übersichtsanleitung

Endpoint Web Control Übersichtsanleitung Endpoint Web Control Übersichtsanleitung Sophos Web Appliance Sophos UTM (Version 9.2 oder höher) Sophos Enterprise Console Sophos Endpoint Security and Control Stand: Dezember 2013 Inhalt 1 Endpoint Web

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH 6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010 Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen

Mehr

LAN Schutzkonzepte - Firewalls

LAN Schutzkonzepte - Firewalls LAN Schutzkonzepte - Firewalls - Allgemein Generelle Abschirmung des LAN der Universität Bayreuth - Lehrstuhlnetz transparente Firewall - Prinzip a) kommerzielle Produkte b) Eigenbau auf Linuxbasis - lokaler

Mehr

Web Security: Schützen Sie Ihre Daten in der Cloud

Web Security: Schützen Sie Ihre Daten in der Cloud Whitepaper Web Security: Schützen Sie Ihre Daten in der Cloud Überblick Sicherheitsteams können nicht überall sein, aber im aktuellen Umfeld ist es für Unternehmen unerlässlich, ihre Daten überall dort

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Statischevs. Dynamische Malwareanalyse

Statischevs. Dynamische Malwareanalyse Statischevs. Dynamische Malwareanalyse A day in the life of a malware analyst Florian Nentwich, Georg Kremsner Security Forum Hagenberg, 24.03.2010 Malware Statistik täglich 20k bis 40k Samples neu 8 Mitarbeiter

Mehr

SPS-Sensors für Paessler's PRTG White Paper

SPS-Sensors für Paessler's PRTG White Paper SPS-Sensors für Paessler's PRTG White Paper 1 Inhaltsverzeichnis Copyright... 2 1. Übersicht... 3 Voraussetzungen... 3 Die Arbeitsweise... 4 Das StarterPack... 5 Die Zugriffsmethode S7... 5 Die XML-Übergabe

Mehr

Pass-the-Hash. Lösungsprofil

Pass-the-Hash. Lösungsprofil Lösungsprofil Inhalt Was ist Pass-the-Hash?...3 Schwachstellen aufdecken...5 DNA-Report...6 Gefahren reduzieren...7 CyberArk...8 Cyber-Ark Software Ltd. cyberark.com 2 Was ist Pass-the-Hash? Die von Hackern

Mehr

Neuigkeiten in Outpost Firewall Pro 2008

Neuigkeiten in Outpost Firewall Pro 2008 Outpost Firewall Pro 2008 Neuigkeiten Seite 1 [DE] Neuigkeiten in Outpost Firewall Pro 2008 Der Nachfolger der Outpost Firewall Pro 4.0, die neue Version, enthält eine Reihe innovativer Technologien, um

Mehr

Installationsanleitung. Kontakt-Scanner Automatische Kontaktpflege für Outlook

Installationsanleitung. Kontakt-Scanner Automatische Kontaktpflege für Outlook Installationsanleitung Kontakt-Scanner Automatische Kontaktpflege für Outlook Impressum Copyright: 2009 TVG Telefon- und Verzeichnisverlag GmbH & Co. KG Alle Marken- und/oder Produktnamen in dieser Installationsanleitung

Mehr

DarkHour DS - Anleitung

DarkHour DS - Anleitung 1 DarkHour DS - Anleitung Inhalt Vorwort... 2 Downloaden... 3 Registrieren... 4 Einstellungen... 5 Profile... 6 Farmeinstellungen... 7 Botschutz... 9 Rechtliches... 11 2 Vorwort Unser DarkHour DS ist eine

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Breaking the Kill Chain

Breaking the Kill Chain Breaking the Kill Chain Eine ganzheitliche Lösung zur Abwehr heutiger Angriffe Frank Barthel, Senior System Engineer Copyright Fortinet Inc. All rights reserved. Typischer Ablauf eines zielgerichteten

Mehr

1 Verwenden von GFI MailEssentials

1 Verwenden von GFI MailEssentials Endbenutzerhandbuch Die Informationen in diesem Dokument dienen ausschließlich Informationszwecken und werden in der vorliegenden Form ohne (ausdrückliche oder stillschweigende) Haftung jeglicher Art bereitgestellt,

Mehr

W i r p r ä s e n t i e r e n

W i r p r ä s e n t i e r e n W i r p r ä s e n t i e r e n Verbesserte Optik Internet-Schutz neu erfunden Malware kann Sie immer raffinierter ausspionieren. Können Ihre smaßnahmen da mithalten? CA konzentrierte sich auf IT-Experten

Mehr

PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren

PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren PC Hack erkennen 3 - Rootkits & versteckte Trojaner aufspühren Eine weitere Möglichkeit, das ein PC mit einem Trojaner infiziert sein kann, ist z.b., wenn ein Backdoor Listener wie Netcat auf dem infiltriertem

Mehr

Früh Erkennen, Rechtzeitig Beheben

Früh Erkennen, Rechtzeitig Beheben Das einheitliche Application Performance Monitor- Dashboard bietet die beste Oberfläche die ich je genutzt habe. Dies ist die Zukunft des Monitorings von Diensten, Servern und Anwendungen. Ich erhalte

Mehr

Ändern von IP Adressen beim ISA Server (intern/extern)

Ändern von IP Adressen beim ISA Server (intern/extern) Ändern von IP Adressen beim ISA Server (intern/extern) Version: 1.0 / 25.12.2003 Die in diesem Whitepaper enthaltenen Informationen stellen die behandelten Themen aus der Sicht von Dieter Rauscher zum

Mehr

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11.

Uberlegungen Einsatzgebiete Virtualisierungslosungen Fazit Hardwarevirtualisierung. Virtualisierung. Christian Voshage. 11. slosungen 11. Mai 2009 Inhaltsverzeichnis Uberlegungen slosungen 1 Uberlegungen Grunduberlegungen Vorteile Hardware-Emulation Nachteile 2 Servervirtualisierung Clientvirtualisierung 3 slosungen 4 5 Uberlegungen

Mehr

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches

Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Hochschule Darmstadt - Fachbereich Informatik - Fachschaft des Fachbereiches Verwendung der bereitgestellten Virtuellen Maschinen»Einrichten einer Virtuellen Maschine mittels VirtualBox sowie Zugriff auf

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Whitepaper. Notfallreaktion bei Sicherheitsvorfällen: 10 häufige Fehler von Sicherheitsverantwortlichen

Whitepaper. Notfallreaktion bei Sicherheitsvorfällen: 10 häufige Fehler von Sicherheitsverantwortlichen Notfallreaktion bei Sicherheitsvorfällen: 10 häufige Fehler von Sicherheitsverantwortlichen Inhalt Ein Whitepaper von: Michael G. Spohn Leitender Berater McAfee Foundstone Professional Services Reaktion

Mehr

ProCurve Manager Plus 2.2

ProCurve Manager Plus 2.2 ProCurve Manager Plus 2.2 Bei ProCurve Manager Plus 2.2 handelt es sich um eine sichere Windows -basierte Netzwerkverwaltungsplattform mit erweitertem Funktionsumfang zur zentralen Konfiguration, Aktualisierung,

Mehr

Messdaten auswerten und visualisieren 5 Tipps, die passende Darstellungstechnik für ein Messsystem zu finden

Messdaten auswerten und visualisieren 5 Tipps, die passende Darstellungstechnik für ein Messsystem zu finden Messdaten auswerten und visualisieren 5 Tipps, die passende Darstellungstechnik für ein Messsystem zu finden 27.05.13 Autor / Redakteur: Nach Unterlagen von National Instruments / Hendrik Härter Messdaten

Mehr

Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren

Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren TRITON AP-EMAIL Fortgeschrittene, zielgerichtete Angriffe stoppen, risikobehaftete Benutzer identifizieren und Bedrohungen durch Innentäter kontrollieren Von Ködern, die auf soziale Manipulation setzen,

Mehr

Virenschutz für SAP E-Recruiting

Virenschutz für SAP E-Recruiting Virenschutz für SAP E-Recruiting ein White-Paper E-Recruiting der Trend im Personalmarkt Viele Unternehmen realisieren mit dem Einsatz moderner E-Recruiting Technologie signifikante Einsparungen im Bereich

Mehr

Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl

Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl TRITON APX Beispiellose Einblicke und integrierter Schutz vor fortgeschrittenen Bedrohungen und Datendiebstahl Ihr Unternehmen ist einer stetig wachsenden Anzahl fortgeschrittener Bedrohungen ausgesetzt,

Mehr

Internet: Was ist das? - Routing

Internet: Was ist das? - Routing Internet: Was ist das? - Routing Auch Router Server Router Client ClientServer? Grundlagen Internet Sicherheit Angriffe Schutz Internet Map, The Opte Project Internet: Was ist das? - Netzwerk Peer-to-Peer

Mehr

Sichere Freigabe und Kommunikation

Sichere Freigabe und Kommunikation Sichere Freigabe und Kommunikation F-SECURE PROTECTION FOR SERVERS, EMAIL AND COLLABORATION Die Bedeutung von Sicherheit Die meisten Malware-Angriffe nutzen Softwareschwachstellen aus, um an ihr Ziel zu

Mehr

Zeiterfassung-Konnektor Handbuch

Zeiterfassung-Konnektor Handbuch Zeiterfassung-Konnektor Handbuch Inhalt In diesem Handbuch werden Sie den Konnektor kennen sowie verstehen lernen. Es wird beschrieben wie Sie den Konnektor einstellen und wie das System funktioniert,

Mehr

IBM SPSS Data Access Pack Installationsanweisung für Windows

IBM SPSS Data Access Pack Installationsanweisung für Windows IBM SPSS Data Access Pack Installationsanweisung für Windows Inhaltsverzeichnis Kapitel 1. Übersicht.......... 1 Einführung............... 1 Bereitstellen einer Datenzugriffstechnologie.... 1 ODBC-Datenquellen...........

Mehr

Test-Strategien. Grundsätzliches Blackbox-Testen Whitebox-Testen Graybox-Testen Ablauf von Tests Zusammenfassung. HS Mannheim

Test-Strategien. Grundsätzliches Blackbox-Testen Whitebox-Testen Graybox-Testen Ablauf von Tests Zusammenfassung. HS Mannheim Test- Grundsätzliches - - - Ablauf von Tests Grundsätzliche Test- -Tests Äquivalenzklassenbildung Randwertanalyse -Tests Man unterscheidet verschiedene Überdeckungsgrade: Statement Coverage Decision Coverage,

Mehr

ONLINE- UND MOBILE-BANKING: MINIMIERUNG DER RISIKEN

ONLINE- UND MOBILE-BANKING: MINIMIERUNG DER RISIKEN ONLINE- UND MOBILE-BANKING: MINIMIERUNG DER RISIKEN MIT KASPERSKY FRAUD PREVENTION ONLINE- UND MOBILE-BANKING: MINIMIERUNG DER RISIKEN MIT KASPERSKY FRAUD PREVENTION Finanzbetrug ist ein ernstes Risiko,

Mehr

Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45

Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45 Software Engineering, SoSe 07, WSI, D. Huson, (Original Author: A. Zeller), 4. Juni 2007 45 7 Programmverstehen + Fehlersuche Nach einer Vorlesung von Prof. Andreas Zeller, Lehrstuhl Softwaretechnik Universität

Mehr

WINDOWS 95 FÜR VIRTUAL BOX

WINDOWS 95 FÜR VIRTUAL BOX WINDOWS 95 FÜR VIRTUAL BOX Um Windows 95 auf Virtual Box vollständig zum Laufen zu bringen, werden folgende Daten benötigt: Windows 95 Image Windows 95 Bootdiskette Gültiger Windows 95 Schlüssel Universeller

Mehr

Benutzerdokumentation Web-Portal

Benutzerdokumentation Web-Portal GRUPP: SWT0822 Benutzerdokumentation Web-Portal Yet Another Reversi Game Martin Gielow, Stephan Mennicke, Daniel Moos, Christine Schröder, Christine Stüve, Christian Sura 05. Mai 2009 Inhalt 1. Einleitung...3

Mehr

DIE KUNST DER DIGITALEN VERTEIDIGUNG

DIE KUNST DER DIGITALEN VERTEIDIGUNG DIE KUNST DER DIGITALEN VERTEIDIGUNG Thomas Werth Widmung Wenn aus Liebe Leben wird, trägt das Glück einen Namen: - Maya - INHALT Vorwort Seite 11 Geleitwort Seite 16 Kapitel 1 Bedrohungen und Risiken

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Seminararbeit Ruby Uno Kartenspiel

Seminararbeit Ruby Uno Kartenspiel Seminararbeit Ruby Uno Kartenspiel Autor: Fabian Merki Fabian Merki 05.11.2006 1 von 10 Inhaltsverzeichnis Einleitung... 3 Die Idee... 4 Design und Implementierung in Ruby... 5 Testing... 7 Startbefehle...

Mehr

ESET Smart Security Business Edition

ESET Smart Security Business Edition ESET Smart Security Business Edition ESET Smart Security Business Edition ist eine neue, hochintegrierte Lösung für die Endpunkt-Sicherheit von Unternehmen aller Größen. ESET Smart Security bietet die

Mehr

Business Intelligence- Anforderungen für die IT: Was jeder IT-Manager über die tatsächlichen BI-Anforderungen der Geschäftsanwender wissen sollte

Business Intelligence- Anforderungen für die IT: Was jeder IT-Manager über die tatsächlichen BI-Anforderungen der Geschäftsanwender wissen sollte Business Intelligence- Anforderungen für die IT: Was jeder IT-Manager über die tatsächlichen BI-Anforderungen der Januar 2011 p2 Geschäftsanwender und Unternehmen müssen in der Lage sein, ihre Daten schnell

Mehr