Viren und Würmer. B. Mayer, M. Moser, M. Schönegger WAP (WS 2016/17) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 1 / 34

Transkript

1 Viren und Würmer B. Mayer, M. Moser, M. Schönegger WAP (WS 2016/17) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 1 / 34

2 Inhalt 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 2 / 34

3 Überblick Malware 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 3 / 34

4 Überblick Malware Malware Malicious Software Unter den Aspekt Malware fallen folgende Bereiche: Viren, Würmer, Trojanische Pferde, Dialer, Adware, Spyware,... Wer erstellt Malware? Programmierer mit sehr guten Betriebssystem Kenntnissen sogenannte Virengeneratoren werden Viren und Würmer genauer betrachten B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 4 / 34

5 Überblick Malware Viren 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 5 / 34

6 Überblick Malware Viren Viren Begriff Viren meist als Oberbegriff Malware verwendet (Stichwort Anti-Viren-Software) nutzen Autorisierung von Programmen im Betriebssystem keine selbständigen Programmroutinen integrieren Programmcode in Dateien B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 6 / 34

7 Überblick Malware Verbreitung von Viren Viren Ziele der Verbreitung: Ausführung von Schadcode bei bestimmten Aktionen des Nutzers Eindringen in andere Ressourcen des Computers Art der Verbreitung: Virus kopiert sich auf Wechseldatenträger und infiziert Dateien Nutzer versendet eine mit infiziertem Anhang B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 7 / 34

8 Überblick Malware Viren Verschiedene Arten der gängigsten Viren 1 Bootviren 2 Dateiviren Überschreiben des Dateiinhalts Parasitäre Viren Compagnion Viren Stealth Viren Script Viren 3 Multipartite Viren B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 8 / 34

9 Überblick Malware Viren Bootviren befinden sich im Bootsektor des Systems kommen seltener vor, sind aber zerstörerischer systemnaher Bezug erleichtert zuverlässige Ausführung auch auf CDs und USB-Sticks möglich B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 9 / 34

10 Überblick Malware Viren Dateiviren nutzen Dateisystem zur Vervielfältigung Eindringen auf unterschiedliche Art und Weise in ausführbare Dateien erstellen Kopien in Verzeichnissen nutzen Organisationsstruktur des Dateisystems B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 10 / 34

11 Dateiviren Überblick Malware Viren Überschreiben des Dateiinhaltes: einfachste Methode ersetzen Code der Datei durch eigenen Code schnell erkennbar B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 11 / 34

12 Dateiviren Überblick Malware Viren Überschreiben des Dateiinhaltes: einfachste Methode ersetzen Code der Datei durch eigenen Code schnell erkennbar Parasitäre Viren: am weitesten verbreitet fügen Code in Dateien ein und verändern deren Inhalt B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 11 / 34

13 Dateiviren Überblick Malware Viren Überschreiben des Dateiinhaltes: einfachste Methode ersetzen Code der Datei durch eigenen Code schnell erkennbar Parasitäre Viren: am weitesten verbreitet fügen Code in Dateien ein und verändern deren Inhalt Compagnion Viren: ändern den Inhalt einer Datei überhaupt nicht erstellen eine Doppelgänger-Datei mit ihrem Code beim Öffnen der Datei erhält Doppelänger-Datei die Kontrolle B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 11 / 34

14 Dateiviren Überblick Malware Viren Stealth Viren: sind spezielle Tarnviren bei Analyse von Anti-Viren-Programm wird Code entfernt nach Beendigung wird Code wieder eingefügt B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 12 / 34

15 Dateiviren Überblick Malware Viren Stealth Viren: sind spezielle Tarnviren bei Analyse von Anti-Viren-Programm wird Code entfernt nach Beendigung wird Code wieder eingefügt Script Viren: werden mithilfe von Script Sprachen geschrieben infizieren andere Script Programme oder sind Bestandteil von Viren, welche mehrere Komponenten enthalten können andere Formate wie z.b: HTML infizieren B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 12 / 34

16 Überblick Malware Würmer 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 13 / 34

17 Überblick Malware Würmer Würmer [4] nutzen im Gegensatz zu Viren Infrastruktur eines Netzwerkes benötigen kein Wirtsprogramm wesentliches Unterscheidungsmerkmal ist Verbreitungsmethode Unterscheidung nach Art des Eindringens in ein System B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 14 / 34

18 Überblick Malware Würmer Würmer Arten von Würmern würmer Würmer in Instant Messengern (IM) sonstige Würmer Kopieren auf Netzwerkressourcen Einschleusen über Schwachstellen in Betriebssystemen oder Anwendungen Eindringen in öffentlich zugängliche Netzwerkressourcen B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 15 / 34

19 Überblick Malware Berühmte Würmer Würmer 1971: erstes wurmähnliches Programm: Creeper (Tenex) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 16 / 34

20 Überblick Malware Würmer Berühmte Würmer 1971: erstes wurmähnliches Programm: Creeper (Tenex) erster Nematode: Reaper B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 16 / 34

21 Überblick Malware Würmer Berühmte Würmer 1971: erstes wurmähnliches Programm: Creeper (Tenex) erster Nematode: Reaper 1988: erster Internetwurm: Morris Worm (Sun, VAX) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 16 / 34

22 Überblick Malware Würmer Berühmte Würmer 1971: erstes wurmähnliches Programm: Creeper (Tenex) erster Nematode: Reaper 1988: erster Internetwurm: Morris Worm (Sun, VAX) 2003: SQL Slammer aka Sapphire Worm 2 (Microsoft SQL Server) - schnellste Verbreitung 2004: Sasser (Windows) - in Deutschland entstanden B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 16 / 34

23 Überblick Malware Würmer Berühmte Würmer 1971: erstes wurmähnliches Programm: Creeper (Tenex) erster Nematode: Reaper 1988: erster Internetwurm: Morris Worm (Sun, VAX) 2003: SQL Slammer aka Sapphire Worm 2 (Microsoft SQL Server) - schnellste Verbreitung 2004: Sasser (Windows) - in Deutschland entstanden 2010: gezielte Sabotage von Industrieanlagen: Stuxnet 3 (Windows, Siemens) 2012: Spionage: Flame (Wurm/Trojaner, 20 MB) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 16 / 34

24 SQL Slammer 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 17 / 34

25 SQL Slammer Slammer (Wurm) klein, schnell, einfach erster Ausbruch: 25. Jänner 2003 hauptsächlich betroffene Systeme: Microsoft SQL-Server MSDE 2000 x86 Assembler User Datagram Protocol (UDP) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 18 / 34

26 SQL Slammer User Datagram Protocol - kurze Erklärung Versand von Datagrammen in IP-basierten Rechnernetzen minimal, verbindungslos, unzuverlässig, ungesichert Daten werden schnell hintereinander versendet maximale Größe: Bytes ( Bytes adressierbar) verwendet z.b. für: Voice over IP (VoIP) Domain Name System (DNS) Dynamic Host Configuration Protocol (DHCP) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 19 / 34

27 SQL Slammer Slammer - Verbreitung [3] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 20 / 34

28 SQL Slammer Slammer - Verbreitung 1 Eintritt 2 Neuprogrammierung 3 zufälliges Ziel 4 Vervielfältigung 5 Wiederholung B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 21 / 34

29 SQL Slammer 1. Eintritt getarnt als UDP-Paket übertragener String länger als 128 Byte (SQL-Anfrage) geschickt programmiert, sodass Ende von SQL Statement übersprungen wird Bufferoverflow B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 22 / 34

30 SQL Slammer 2. Neuprogrammierung Sicherheitslücke ausnützen und eigenen Code einschleusen ein Teil des Stacks wird überschrieben Code wird unbemerkt ausgeführt B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 23 / 34

31 SQL Slammer 3. Zufälliges Opfer generiert zufällige IP-Adresse Zeit in Millisekunden seit dem Systemstart als Grundlage für die Zufalls-IP mögliches Ziel ist jeder Computer im Internet B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 24 / 34

32 SQL Slammer 4. Vervielfältigung Slammer erstellt eine Kopie seines eigenen Codes vom infizierten Computer aus wird diese nun als UDP-Paket getarnt versendet 70 Millionen Anfragen / Sekunde B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 25 / 34

33 SQL Slammer 5. Wiederholung sofortige Wiederholung der Schritte neue Zufallszahl wird durch Bit-Shift-Operationen erzeugt ( Wiederholung von IP-Adressen) so schnell, dass sich mehrere Instanzen von Slammer die Bandbreite teilen müssen ( langsamere Ausbreitung) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 26 / 34

34 SQL Slammer Gegenmaßnahmen Blockieren von Port 1434 (UDP) Neustart des Computers (Slammer liegt im RAM) Verwendung von aktueller Software B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 27 / 34

35 Stuxnet 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 28 / 34

36 Stuxnet Stuxnet erstmals entdeckt im Juni kB Wurm genialer Programmcode Software von Industrieanlagen im Iran befallen (Zentrifugen in Urananreicherungsanlagen) vermutlich staatlich finanziert (USA und Israel) Absicht nicht finanziell sondern rein politisch B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 29 / 34

37 Stuxnet So funktioniert Stuxnet cf. [2] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 30 / 34

38 Stuxnet So funktioniert Stuxnet cf. [2] 1 infiziert Windows-Rechner über USB-Stick (gestohlenes Zertifikat), vervielfältigt sich selbst und verbreitet sich im LAN B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 30 / 34

39 Stuxnet So funktioniert Stuxnet cf. [2] 1 infiziert Windows-Rechner über USB-Stick (gestohlenes Zertifikat), vervielfältigt sich selbst und verbreitet sich im LAN 2 überprüft, ob der befallene Rechner ein Zielobjekt ist (ob die Siemens Steuerungssoftware Step7 installiert ist) B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 30 / 34

40 Stuxnet So funktioniert Stuxnet cf. [2] 1 infiziert Windows-Rechner über USB-Stick (gestohlenes Zertifikat), vervielfältigt sich selbst und verbreitet sich im LAN 2 überprüft, ob der befallene Rechner ein Zielobjekt ist (ob die Siemens Steuerungssoftware Step7 installiert ist) 3 falls Step7 nicht installiert (1): keine Aktion falls Step7 gefunden (2): Update über Internet, weiter bei 4. B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 30 / 34

41 Stuxnet So funktioniert Stuxnet cf. [2] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 31 / 34

42 Stuxnet So funktioniert Stuxnet 4 nutzt bisher unbekannte Sicherheitslücken, um die Steuerungssoftware zu befallen cf. [2] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 31 / 34

43 Stuxnet So funktioniert Stuxnet 4 nutzt bisher unbekannte Sicherheitslücken, um die Steuerungssoftware zu befallen 5 beobachtet die Steuerung der Zentrifugen und sammelt diese Informationen cf. [2] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 31 / 34

44 Stuxnet So funktioniert Stuxnet 4 nutzt bisher unbekannte Sicherheitslücken, um die Steuerungssoftware zu befallen 5 beobachtet die Steuerung der Zentrifugen und sammelt diese Informationen 6 sendet falsche Informationen an die Steuerungssoftware während er die Zentrifugen übersteuert und so zerstört cf. [2] B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 31 / 34

45 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

46 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

47 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: LNK-Dateien Verbreitung via USB-Stick B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

48 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: LNK-Dateien Verbreitung via USB-Stick Druckerspooler Verbreitung in Netzwerken B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

49 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: LNK-Dateien Verbreitung via USB-Stick Druckerspooler Verbreitung in Netzwerken Laden von Tastaturbelegungen Privileg-Eskalation B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

50 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: LNK-Dateien Verbreitung via USB-Stick Druckerspooler Verbreitung in Netzwerken Laden von Tastaturbelegungen Privileg-Eskalation Task-Scheduler Privileg-Eskalation B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

51 Zero-Day Exploits Stuxnet Zero-Day Exploit Ausnutzen einer Schwachstelle oder Sicherheitslücke in einem Programm oder System, bevor das Problem bekannt ist bzw. durch einen Patch behoben werden konnte Stuxnet verwendete sogar gleich 4 Zero-Day Exploits, die einander perfekt ergänzten: LNK-Dateien Verbreitung via USB-Stick Druckerspooler Verbreitung in Netzwerken Laden von Tastaturbelegungen Privileg-Eskalation Task-Scheduler Privileg-Eskalation Microsoft veröffentlichte Patches noch 2010 B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 32 / 34

52 Diskussion 1 Überblick Malware Viren Würmer 2 SQL Slammer 3 Stuxnet 4 Quellenverzeichnis B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 33 / 34

53 Quellenverzeichnis E. Kaspersky. Malware. Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. Hanser München, D. Kushner. The Real Story of Stuxnet. IEEE Spectrum, 26. Feb D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, and N. Weaver. Inside the Slammer Worm. IEEE Security and Privacy, (4):33 39, Aug J. Riordan, A. Wespi, and D. Zamboni. How To Hook Worms. IEEE Spectrum, 2. Mai B. Mayer, M. Moser, M. Schönegger Viren und Würmer WAP (WS 2016/17) 34 / 34