2. Typische Angriffe. Wir befassen uns nun mit typischen Angriffen auf ein System, die versuchen, Schutzmechanismen zu umgehen.

Transkript

1 2. Typische Angriffe Wir befassen uns nun mit typischen Angriffen auf ein System, die versuchen, Schutzmechanismen zu umgehen. 1

2 2 Typische Angriffe nutzen Schwachstellen des Systems aus Implementierungsschwächen z.b. Buffer Overflows, werden ausgenutzt durch Exploits Nachlässigkeiten von Benutzern/ Sicherheitsadministratoren z.b. veraltete Virensoftware, schlecht gewählte Passwörter Schwachstellen, die für einen Angriff genutzt werden, beruhen beispielsweise auf Implementierungsfehlern der eingesetzten Software. Beispiele sind Buffer Overflows oder Format-String Schwachstellen. Die Ausnutzung solcher Schwachstellen lässt sich mit Hilfe entsprechender Programme oder Skripte (Exploits) weitgehend automatisieren. Dies ermöglicht beispielsweise auch die Erstellung von Würmern. Außerdem basieren viele Angriffe auf Nachlässigkeiten bei Benutzern bzw. Sicherheitsadministratoren (z.b. schlecht gewählte Passwörter, veraltete Virensoftware). 2

3 2 Typische Angriffe Interne Angriffe sind nicht zu unterschätzen Mitarbeiter missbrauchen ihre Rechte Studie InterGov ( 2002: 80% der Angriffe von innen Studie des Computer Security Institute(CSI) und FBI 2003: ca. 50% der Angriffe von innen Angriffe kommen allerdings nicht nur von außen, d.h., das extern von nicht autorisierten Personen versucht wird in ein System einzudringen, sondern auch von innen, d.h., autorisierte Personen missbrauchen die ihnen gegebenen Rechte. Die Häufigkeit solcher internen Angriffe ist nicht zu unterschätzen, wie zwei Studien der InterGov und des CSI/FBI zeigen. Gegen diese internen Angriffe, bei denen Berechtigungen missbraucht werden, nützen dann auch die eingesetzten Schutzmechanismen nichts. 3

4 Hier ist eine Aufstellung aus dem Sicherheitsreport des CSI/FBI, die zeigt, dass etwa die Hälfte aller Angriffe von innen kommen. 4

5 2 Typische Angriffe Social engineering nicht technischer Angriff durch menschliche Unachtsamkeiten Passwort erfragen, über die Schulter sehen, im Müll suchen, usw. Neben Angriffen von innen bietet das Social Engineering die Möglichkeit, Schutzmechanismen ohne technischen Aufwand zu umgehen. Unter Social Engineering fällt beispielsweise das Erfragen von Passwörten unter Vorgabe falscher Tatsachen, das über die Schulter sehen bei der Passworteingabe, das Nachstöbern im Müll nach sicherheitsrelevanten Informationen und vieles erdenkliche mehr. 5

6 2.1 Buffer Overflows Buffer Overflows (Pufferüberläufe) Stellen die am häufigsten ausgebeutete Schwachstelle dar. Verursacht durch fehlende Längenüberprüfung bei Eingaben für Puffer mit statischer Länge. Arten von Buffer-Overflows: Stack-basiert Heap-basiert Buffer Overflows (Pufferüberläufe) stellen die in den letzten Jahren am häufigsten ausgebeutete Schwachstelle dar, ein System erfolgreich anzugreifen. Buffer Overflows treten auf, wenn ein Programm Puffer mit statischer Elementzahl ohne eine explizite Längenprüfung übergebener Daten (z.b. Benutzereingaben) verarbeitet. Reichen die für einen Puffer reservierten Bytes für Eingabedaten nicht aus, kommt es zu einem Überlauf des Puffers. Dabei werden die überzähligen Daten in Speicherbereiche geschrieben, welche sich jenseits des eigentlichen Puffers befinden. Dabei können beispielsweise sensitive Daten überschrieben werden. Es gibt mehrere Arten von Buffer Overflows, z.b. Stack-basierte Overflows oder Heap Overflows. 6

7 2.1 Buffer Overflows Stack dynamisch Heap Data Text Stack: Daten dynamischer lokaler Variablen und Funktionsparameter. Heap:dynamische Datenstrukturen Data: Daten initialisierter globaler Variablen Text: Programmanweisungen Prozessspeicherbereich Das Stack-Segment enthält die dynamischen lokalen Daten und Funktionsparameter. Dynamische lokale Variablen werden stets neu erzeugt, wenn die entsprechende Funktion, in der sie deklariert sind, aufgerufen wird. Sie werden zerstört, wenn die Funktion verlassen wird. Statische lokale Variablen werden im Daten-Bereich abgelegt. Das Heap-Segment enthält die Daten für dynamische Datenstrukturen. Dynamische Datenstrukturen werden erst zur Programmausführung erzeugt. In C werden solche Datenstrukturen mit den Bibliotheksfunktionen malloc angelegt und mit free wieder freigegeben. Das Data-Segment enthält die globalen Variablen. Globale Variablen können initialisiert, aber auch uninitialisiert sein. Im ersteren Fall werden die globalen Variablen im Data-Segment abgelegt, im zweiten Fall werden sie im BSS (Block Started by Symbol) Bereich abgelegt und mit einem Wert 0 vorinitialisiert. Das Text-Segment enthält alle Programmanweisungen, die von der CPU ausgeführt werden. Auf diesen Bereich kann nur lesend zugegriffen werden, um zu verhindern, dass der Prozess selbst seine Instruktionen modifiziert. 7

8 2.1 Buffer Overflows Stack-basierte Buffer Overflows Nutzen Pufferüberläufe von Daten auf dem Stack Lokale Parameter von Funktionen, Rücksprungadresse, aktuelle Parameter Wir befassen uns nun näher mit klassischen Stack-basierten Buffer Overflows. Lokale Variablen eines Prozesses sowie interne Verwaltungsinformation von Funktionsaufrufen (Rücksprungadresse, lokale Variablen, aktuelle Parameter) werden auf dem Stack abgelegt. Eine klassische Stack-basierte Buffer Overflow Schwachstelle entsteht, wenn eine auf dem Stack gesicherte Verwaltungsinformation modifiziert wird. Dabei wird ein lokaler Puffer mit statischer Elementgröße, welcher sich auf dem Stack befindet, durch benutzerdefinierte Eingaben überfüllt, so dass nachfolgende Stack-Bereiche überschrieben werden. 8

9 2.1 Buffer Overflows void function (char *args ){ char buff2[4] = ABC ; char buff1[4]; strcpy(buff1,args); } int main( int argc, char *argv[]) { if (argc >1) function(argv[1]); else printf( Kein Argument! ); } Parameter main argc, argv Rücksprungadr. aus main Parameter funct args Rücksprungadr. aus function lokale Variable buff2 lokale Variable buff1 Dies ist ein Beispiel einer Buffer Overflow-Schwachstelle. Der statische Puffer buff1 kann durch eine Zeichenkette, die länger als 4-Zeichen ist, zum Überlaufen gebracht werden. Da der Puffer buff2 auf dem Stack sofort dem Array buff1 folgt, wird buff2 durch die zu lange Eingabe für buff1 überschrieben. 9

10 Ein Server-Dienst Buffer Overflows... #define PORT 7777 void do_sth(char *str) { char buff[24]; strcpy(buff, str); printf("buff: %s\n", buff); } Ein etwas komplexeres Beispiel zeigt, wie man eine Denial-of-Service-Attacke mittels eines Buffer Overflows durchführen kann. Bei dem Programm handelt es sich um einen Server-Dienst, welcher auf Port 7777 auf entsprechende Anfragen lauscht. Wird eine Verbindung zu einem Dienst hergestellt, nimmt dieser eine benutzerdefinierte Eingabe entgegen, welche anschließend an die Unterfunktion do_sth weitergegeben wird. Innerhalb von do_sth wird die übergebene Eingabe in den Puffer buff kopiert. Da der Eingabe-String eine Länge von 64 Zeichen umfassen darf, der Puffer buff in do_sth jedoch lediglich 24 Elemente besitzt, kommt es zu einer klassischen Buffer-Overflow-Schwachstelle. 10

11 int main(int argc, char *argv[]) { char line[64];... // Server-Dienst konfigurieren for ( ; ; ) { connfd = accept( listenfd, (SA *) NULL, NULL); write( connfd, "Eingabe: ", 9); n = read( connfd, line, sizeof (line) -1 ); line[n] = 0; do_sth( line ); close( connfd ); } } 11

12 2.1 Buffer Overflows - Gegenmaßnahmen StackGuard Compilererweiterung für gcc Compiler fügt Wächtercode (canaries) vor Rücksprungadresse ein Mehrere Techniken zur Generierung des Canaries Source-Code muss voranden sein Kein Schutz gegen Heap-Angriffe call fun() Funktions- Parameter fun() Rücksprung- Adresse aus fun() Canary lokale Variablen/ Puffer Der StackGuard Compiler ( ist eine Erweiterung des gcc-compilers. Der StackGuard Compiler fügt Wächtercode (genannt canaries nach den Kanarienvögeln zum Warnen der Bergarbeiter) in den zu compilierenden Code ein, der dessen Funktionalität nicht beeinträchtigt. Dieser Wächtercode wird unmittelbar vor den Rücksprungadressen von Funktionen eingefügt. Die Idee ist, dass bei einem Exploit auch sämtliche Speicherstellen zwischen dem eigentlichen Überlaufpuffer und der Rücksprungadresse überschrieben werden. Sollte dieser Wächtercode (canary) bei einem Buffer Overflow geändert worden sein, wird dies gemeldet und das Programm gestoppt. Es gibt mehrere Techniken zur Generierung des canary (z.b. zufällig generiert auf Basis von /dev/urandom), die davor schützen sollen, dass ein Angreifer den Wert des canary erfährt. Bsp: int fun( int a, char* b) { char buff[24]; strcpy(buff, b); return 0;} Der Puffer buff kommt auf den Stack und kann durch eine zu lange Eingabe für b durch den Befehl strcpy überlaufen. Um die Rücksprungadresse durch den Überlauf zu modifizieren, ändert sich auch das Canary. StackGuard bietet jedoch keinen umfassenden Schutz gegen Buffer Overflows, da sich der Schutz lediglich auf den Stack-Bereich des Prozessspeichers bezieht (nicht betrachtet werden beispielsweise Angriffe auf den Heap). Außerdem bleiben Angriffe unbemerkt, die die Speicheradressen vor dem ersten Canary modifizieren. 12

13 2.1 Buffer Overflows - Gegenmaßnahmen Weitere Compiler-Erweiterungen /GS-Option Microsoft Visual C++.Net StackShield ( Stack Smashing Protection (SSP) StackGuard ist eine von mehreren existierenden Compiler-Erweiterungen. So bietet Microsoft ein zum StackGuard vergleichbares Konzept für Visual C++.Net. StackShield und Stack Smashing Protection sind weitere Erweiterungen, die über StackGuard bzw. die /GS-Option hinausgehen. 13

14 2.1 Buffer Overflows - Gegenmaßnahmen Wrapper für unsichere Bibliotheksfunktionen Libsafe Wird zwischen Programmcode und Standard-C-Bibliothek geladen Fängt unsichere Funktionen ab und ersetzt diese durch Alternativfunktionen Probleme behandeln von allen unsicheren Funktionen Angriffe auf Heap Denial-of-Service (Programm bricht bei Pufferüberlauf ab) Eine weitere Gegenmaßnahme gegen Buffer Overflows liegt in der Zuhilfenahme von Wrappern für unsichere Bibliotheksfunktionen (wie gets, strcpy, strcat, sprintf, vsprintf etc.). Eine entsprechende Implementierung ist Libsafe. Dabei handelt es sich um eine dynamisch ladbare Bibliothek, die stets zwischen dem eigentlichen Programmcode und der Standard-C-Bibliothek geladen wird. So wird Libsafe vor Ausführung der eigentlichen Funktionen der Standard-C- Bibliothek ausgeführt. Libsafe fängt alle potenziell unsicheren Funktionen ab und ersetzt diese durch Alternativfunktionen, die als sicherer betrachtet werden, da zusätzliche Überprüfungen hinsichtlich potenzieller Buffer Overflows durchgeführt werden. Wird ein Pufferüberlauf gefunden, wird das Programm gestoppt. Libsafe kann jedoch nicht alle Buffer Overflow Angriffe verhindern, da nur für eine begrenzte Menge von Funktionen Alternativfunktionen bereitgestellt werden, die Schutzmechanismen auf den Stackbereich des Prozessspeichers beschränkt sind und Denial-of-Service Angriffe weiterhin möglich sind, da das Programm bei der Entdeckung eines Buffer Overflows abgebrochen wird. 14

15 2.1 Buffer Overflows - Gegenmaßnahmen Standard C Library Functions gets(3c) NAME gets, fgets - get a string from a stream SYNOPSIS #include <stdio.h> char *gets(char *s); char *fgets(char *s, int n, FILE *stream); DESCRIPTION The gets() function reads bytes from the standard input stream (see intro(3)), stdin, into the array pointed to by s, until a newline character is read or an end-offile condition is encountered. The newline character is discarded and the string is terminated with a null byte. If the length of an input line exceeds the size of s, indeterminate behavior may result. For this reason, it is strongly recommended that gets() be avoided in favor of fgets(). Beispiele unsicherer Funktionen der C-Bibliothek sind gets, strcpy, strcat, sprintf etc. Auf den Manual-Seiten dieser Funktionen sind die Schwächen einer nicht vorhandenen Längenüberprüfung für Felder dokumentiert. 15

16 2.1 Buffer Overflows - Gegenmaßnahmen Standard C Library Functions string(3c) NAME string, strcasecmp, strncasecmp, strcat, strncat, strlcat, strchr, strrchr, strcmp, strncmp, strcpy, strncpy, strlcpy, strcspn, strspn, strdup, strlen, strpbrk, strstr, strtok, strtok_r - string operations DESCRIPTION The arguments s, s1, and s2 point to strings (arrays of characters terminated by a null character). The strcat(), strncat(), strlcat(), strcpy(), strncpy(), strlcpy(), strtok(), and strtok_r() functions all alter their first argument. These functions do not check for overflow of the array pointed to by the first argument. 16

17 2.1 Buffer Overflows - Gegenmaßnahmen Standard C Library Functions printf(3c) NAME printf, fprintf, sprintf, snprintf - print formatted output DESCRIPTION The sprintf() function places output, followed by the null byte (\0), in consecutive bytes starting at s; it is the user's responsibility to ensure that enough storage is available. 17

18 2.1 Buffer Overflows - Gegenmaßnahmen Modifikation der Prozessumgebung Nicht ausführbarer (non-executable) Stack Schädlicher Code kann nicht ausgeführt werden Implementierungen: Solaris (64-Bit), OpenBSD 3.2, Linux( OpenWall, PaX) Problem: Vorhandener Code wird ausgenutzt Code wird auf den Heap gelegt Nicht ausführbarer (non-executable) Heap Schädlicher Code kann nicht ausgeführt werden Das Ziel dieser Gegenmaßnahmen ist die Modifikation der Prozessumgebung, um die Ausnutzung von Buffer Overflows zu unterbinden. Eine Methode liegt darin, den Stack-Bereich des Prozessspeichers als nicht ausführbar (non-executable) zu kennzeichnen. So kann auf dem Stack eingeschleuster schädlicher Code nicht mehr ausgeführt werden. Es gibt einige Implementierungen: Alle Solaris-Plattformen auf 64-Bit Architekturen verwenden per Default einen als nicht-ausführbar konfigurierten Stack. Auch OpenBSD wird ab Version 3.2 mit einer non-executable-funktionalität ausgeliefert. Unter Linux gibt es Implementierungen in Form von Kernel-Patches, beispielsweise OpenWall und PaX. Ein nicht ausführbarer Stack verhindert jedoch noch nicht die Ausnutzung von Buffer Overflows, da zum einen vorhandener Code für einen Angriff ausgenutzt werden kann oder der schädliche Code auf dem Heap zur Ausführung gebracht werden könnte. Daher ist eine weitere Maßnahme, auch den Heap als nicht-ausführbar zu deklarieren. Aber auch dann gibt es Möglichkeiten, Buffer Overflows auszunutzen, die hier aber nicht beschrieben werden. 18

19 2.1 Buffer Overflows PaX: ein Patch für den Linux-Kernel Nicht-ausführbarer Stack und Heap Zufällig gewählte Adressbereiche (Address Space Layout Randomization) Probleme: Stabilität und Performance Eine Implementierung von Speicherschutz gegen Buffer Overflows für Linux ist PaX ( PaX bietet einen nicht-ausführbaren Stack und Heap. Zudem hat PaX einen weiteren Schutz gegen Buffer Overflows: das Generieren von zufälligen Speicheradressen bei jedem Ausführen des Programms. Dadurch ist es nicht möglich mit einem Core-Dump die Adressen auszulesen, um diese dann für den eingeschleusten Code zu benutzen. 19

20 2.2 Viren, Würmer und Trojaner Viren Infizieren zuvor korrekte Wirtsprogramme und machen sie damit potentiell zu Schadprogrammen, die transitiv weitere Programme infizieren. Würmer Programm, dass sich über das Netz fortpflanzt entweder selbsttätig oder als Anhängsel von s und nach Belieben Unheil anrichtet. Trojanische Pferde Programm tut, was der Benutzer erwartet, aber insgeheim noch anderes. Viren, Würmer und Trojanische Pferde bilden weitere wichtige Klassen von Attacken auf ein IT- System. Viren benötigen immer ein Wirtsprogramm zur Ausführung des Virus-Codes. Die Ausführung des Virus bewirkt, dass eine Kopie (Reproduktion) in einen noch nicht infizierten Speicherbereich geschrieben wird. Zusätzlich zur Reproduktion enthalten Viren oft einen Schadensteil. Würmer sind die Weiterentwicklung von Viren im Zeitalter des Internets. Sie können sich selbst aktiv über ein Netzwerk ausbreiten und brauchen, im Gegensatz zu Viren, keinen Wirt. Ein Trojanisches Pferd täuscht eine Funktionalität vor, die darüberhinaus aber auch eine verborgene, bedrohliche Funktionalität besitzt. Trojaner verfügen in der Regel nicht über eine Infektionsfunktion und müssen daher gezielt auf den Rechner eines Opfers gebracht werden. Dann erlauben sie einem Angreifer einen Zugriff auf Informationen und Funktionen des Zielrechners. 20

21 2.2 Viren, Würmer und Trojaner Bevor wir uns Viren, Würmer und Trojaner genauer ansehen, zeigen die folgenden Folien die Verteilung der Virenmeldungen an das Bundesamt für Systemsicherheit (BSI) in den Jahren

22 2.2 Viren, Würmer und Trojaner

23 2.2 Viren, Würmer und Trojaner

24 2.2.1 Computer Viren Fred Cohen, Computer Viruses - Theory and Experiments, 1984 Eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Computer-Viren gehören zu den Programmen mit Schadensfunktionen. Als Schaden ist hier insbesondere der Verlust oder die Verfälschung von Daten oder Programmen sicherlich von größter Tragweite. Solche Funktionen von Programmen können sowohl unbeabsichtigt als auch bewusst gesteuert auftreten. Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Die Eigenschaft der Reproduktion führte in Analogie zum biologischen Vorbild zu der Bezeichnung "Virus". Die Möglichkeiten der Manipulation sind sehr vielfältig. Besonders häufig sind das Überschreiben oder das Anlagern des Virus-Codes an andere Programme und Bereiche des Betriebssystems, wobei dies immer so geschieht, dass zunächst der Virus-Code und dann erst das ursprüngliche Programm ausgeführt wird. Der Computervirus wird zwanzig Jahre alt :: Artikel in astalavista.ch vom :53:36 Fred Cohen setzte im November 1983 den ersten digitalen Übeltäter in Umlauf Vor zwanzig Jahren erblickte der erste Computervirus offiziell das Licht der Öffentlichkeit. Der Student Fred Cohen präsentierte an der University Southern California nach einer Woche Entwicklungsarbeit am 10. November 1983 das Ergebnis seines Experiments: den ersten Virus auf einem Unix-System. Seinen Namen bekam das kleine Programm, da es ähnlich wie das biologische Virus seine Umgebung verändert und sich weiter vermehren kann

25 2.2.1 Computer Viren Aufbau eines Computer-Virus Reproduktions- /Infektionsteil Mit diesem Programmteil wird die Vermehrung des Virus durchgeführt. Erkennungsteil Hier wird geprüft, ob bereits die Infektion eines Programms oder Systembereichs bereits erfolgte. Schadensteil (payload) Enthält die Schadensfunktion Der allgemeine Aufbau eines Computer-Virus ist wie folgt: Im Reproduktionsteil bzw. Infektionsteil wird die Vermehrung des Virus durchgeführt. Potentielle Speicherbereiche für Viren sind der Code ausführbarer Programme von Benutzern, Bereiche des Betriebssystems oder Sektoren eines Hintergrundspeichermediums. Im Erkennungsteil wird geprüft, ob bereits die Infektion eines Programms oder Systembereichs erfolgte. Die Verbreitung wird beschleunigt, wenn das Virus auf eine Infektion "verzichten" kann, weil sie bereits geschehen ist. Jedes Wirts-Programm wird daher nur einmal infiziert. Die Entdeckung wird damit auch verzögert, da durch mehrfache Anlagerung des Virus-Codes die Dateien sonst so groß werden, dass sie entweder nicht mehr ausführbar sind oder aber dem Benutzer die Größenänderung schneller auffällt. Schadensteil (payload) In einigen Viren ist absichtlich eine Schadensfunktion programmiert, meist das Überschreiben oder Verändern von Programmen oder Daten, oder aber auch nur die Ausgabe von Meldungen und Geräuschen auf dem Rechner. Dieser Programmteil kann fehlen, aber auf jeden Fall entsteht Schaden durch Inanspruchnahme von Speicherplatz im Hauptspeicher und auf Datenträgern. Durch Programmierfehler, Veränderungen des Betriebssystems oder ähnliches können weitere Schäden als Nebeneffekte auch dann auftreten, wenn sie nicht absichtlich programmiert sind 25

26 2.2.1 Computer Viren Bedingungsteil enthält Bedingungen für die Verbreitung und die Schadensfunktion Tarnungsteil Erschwert die Entdeckung des Virus, z.b. polymorphe Viren. Sowohl die Verbreitung als auch die Schadensfunktion können von Bedingungen abhängig programmiert sein, z.b. tritt bei einigen Viren der Schaden an einem bestimmten Datum oder bei einer bestimmten Anzahl von Aufrufen ein. Diese Bedingungen sind im Bedingungsteil enthalten. Auch dieser Teil kann fehlen. Tarnungsteil Hierunter fallen Programmroutinen, um die Entdeckung des Virus im infizierten System zu erschweren. Dieser Teil ist meist nur bei neueren Viren zu finden. Beispiele sind Stealthoder polymorphe Viren. 26

27 program virus:= { ; Computer Viren subroutine infect-executable:= {loop:file = get-random-executable-file; if first-line-of-file = then goto loop; add virus to file; } subroutine do-damage:= {whatever damage is to be done} subroutine trigger-pulled:= {return true if some condition holds} main-program:= {infect-executable; if trigger-pulled then do-damage;} Ein (abstraktes) Beispiel eines Virus zeigt der Pseudo-Code dieser Folie. Die Nummer ist der Erkennungsteil, an dem ein bereits infiziertes Wirtsprogramm erkannt wird. Der Beispielvirus infiziert in 27

28 2.2.1 Computer Viren Typische Programmstruktur im Binärcode (vereinfacht) 0 1 JUMP START 0 1 JUMP 4711 START START Virus JUMP START Anhängen Es gibt verschiedene Arten, wie ein Virus seinen Code in einer Datei platzieren kann: 1. Anhängen: Der Virencode wird ans Ende der Datei angehängt. Eine Sprunganweisung zu Beginn des Programms sorgt für eine Verzweigung zum Virencode. Nach dem Virencode springt das Programm wieder zurück zum regulären Anfang des Programms. Nachteil dieser Methode ist der Zuwachs bei der Dateigröße. Außerdem kann der Virencode am Ende des Programms leicht von Anti-Viren-Programmen gefunden werden. 28

29 2.2.1 Computer Viren Typische Programmstruktur im Binärcode (vereinfacht) 1 JUMP START 0 1 JUMP START START 1000 Virus START Virus Voranstellen Überschreiben 2. Einfügen am Anfang: Der Virencode wird direkt an den Anfang der Programmdatei gestellt. Bei jedem Aufruf der Datei wird dann zunächst der Virencode ausgeführt, bevor das eigentliche Programm beginnt. Das Einfügen am Anfang ist jedoch komplizierter als das Anhängen, da die Header-Struktur der Datei verändert werden muss. Auch hier wächst die Dateigröße. 3. Überschreiben: Programmcode wird durch den Virencode überschrieben. Dadurch verändert sich die Dateigröße nicht. Allerdings birgt ein Überschreiben das Risiko, den Programmcode zu beschädigen. Daher suchen die Viren nach Nullbytes in einer Datei und schreiben sich dorthin. Um den Virencode beim Aufruf des Programms zur Ausführung zu bringen, muss das Programm analysiert werden, um Einstiegspunkte zu finden oder man platziert direkt am Anfang des Programms einen Verweis auf den Virencode. 29

30 2.2.1 Computer Viren Maßnahmen von Viren, um unentdeckt zu bleiben Stealth-Viren Lieber große Dateien als kleine, da Größenänderung weniger auffällig Einklinken in den Überwachungsprozess von Viren, z.b. Anti-Viren-Software: Verwischen von Spuren oder Vorspielen falscher Informationen. Polymorphe Viren Selbstveränderung des Viren-Codes Retro-Viren Bekämpfen aktiv Anti-Viren-Programme Um von Anti-Viren-Software nicht entdeckt zu werden, haben Viren eine Reihe von Maßnahmen, um unentdeckt zu bleiben. Stealth-Viren: Stealth-Viren entwickeln spezielle Techniken, um sich vor Antiviren-Programmen zu verstecken. Eine einfache Tarnmaßnahme besteht darin, sich lieber an große Dateien zu hängen, da dort der Größenzuwachs weniger auffällt. Eine weitere Möglichkeit ist das Einklinken in den Überwachungsprozess von Viren. Der Stealth-Virus installiert sich dazu in den Arbeitsspeicher und überwacht die Überwachungsfunktionen für Viren. Startet eine Überwachungsfunktion (z.b. Anti-Viren-Programm), manipuliert der Virus die Betriebssystemfunktionen und verwischt seine Spuren, bevor die Überwachungsfunktion ausgeführt wird. Nach Beendigung der Überwachungsfunktion, werden die Tarnmaßnahmen wieder rückgängig gemacht und der Virus arbeitet weiter. Ein Beispiel ist das Bootsektorvirus Ripper, das beim ersten Infizieren eines Datenträgers eine Kopie des nicht-infizierten Bootsektors anlegt, bevor das Virus sich selbst in den Bootsektor kopiert. Versucht ein Programm, den Bootsektor zu prüfen, täuscht das Virus das Programm mit der originalen nicht-infizierten Kopie. Polymorphe Viren: Viren haben einen bestimmten Binärcode, beinhalten also eine bestimmte Byte-Reihenfolge, die von Anti-Viren-Programmen gesucht werden, um Viren zu entdecken. Polymorphe Viren verändern in regelmäßigen Abständen (z.b. bei jeder 10. Infektion) ihre Byte- Reihenfolge mittels eines Mutationsalgorithmuses. Eine einfache Möglichkeit bei auf VBS basierenden Viren ist die Variation von Leerzeichen, Ändern von Klein- und Großschreibung, da dies für den VBS-Interpreter keinen Unterschied macht. Retro-Viren: Retro-Viren werden unmittelbar gegen Anti-Viren-Programme eingesetzt. Diese Viren beschädigen oder löschen Dateien des Anti-Viren-Programms oder speicherresidente Anti- Viren-Programme werden abgeschossen oder deren Start verhindert. 30

31 2.2.1 Computer Viren Arten von Viren Datei-Viren (File-Viren) Infizieren ausführbare Dateien Boot-Viren Infizieren den Boot-Sektor der Platte/Diskette Multipartite-Viren (File+Boot) Infizieren ausführbare Dateien und Boot-Sektoren Makro-Viren Nutzen leistungsfähige Skriptsprache aus Infizieren Daten/Skripte, die von Interpretierern aufbereitet bzw. ausgeführt werden. Man unterscheidet eine Reihe unterschiedlicher Virenarten: Datei-Virus Datei-Viren lagern sich an Programmdateien an. Dies geschieht so, dass beim Aufruf der Virus- Code zuerst ausgeführt wird und erst anschließend das originale Programm. Dadurch läuft das Programm anschließend wie gewohnt und der Virus wird nicht so schnell entdeckt. Es sind jedoch auch primitivere, überschreibende Viren bekannt, die sich so an den Anfang des Wirts-Programms setzen, dass dies nicht mehr fehlerfrei läuft. Boot-Virus Beim Booten werden u. a. Programmteile ausgeführt, die zwar eigenständig sind, sich aber in sonst nicht zugänglichen und im Inhaltsverzeichnis der Disketten und Festplatten nicht sichtbaren Sektoren befinden. Boot-Viren überschreiben den Boot- oder Partition-Sektor mit ihrem Programm. Der originale Inhalt wird an eine andere Stelle auf dem Datenträger verlagert und dann beim Start des Computers anschließend an den Virus-Code ausgeführt. Dadurch startet der Computer scheinbar wie gewohnt. Der Boot-Virus gelangt jedoch bereits vor dem Laden des Betriebssystems in den Arbeitsspeicher des Computers und verbleibt dort während der gesamten Betriebszeit. Er kann deshalb den Boot-Sektor jeder nicht schreibgeschützten Diskette infizieren, die während des Rechnerbetriebs benutzt wird, und sich auf diese Weise auf andere Computer übertragen. Multipartite-Viren Sind eine Kombination aus Datei- und Boot-Viren. Makro-Viren Machen sich zunutze, dass weitverbreitete Office-Anwendungen, insbesondere die von Microsoft, über eine leistungsfähige Skriptsprache zum Automatisieren von Abläufen verfügen. Makros erledigen häufig benötigte Steuerungsaufgaben, die beim Zugriff auf die Datei durch das zugehörige Programm automatisch ausgeführt werden. Makro-Viren infizieren Daten und Skripte, die dann vom Interpretierer ausgeführt werden. 31

32 2.2.1 Computer Viren Makro-Viren anwendungsspezifisch Liegen im Quelltext vor Visual Basic Script (VBS) Wird vom Windows Scripting Host (WSH) ausgeführt VBS-Viren können auf die Daten mehrerer Anwendungen zugreifen Bietet Zugang zum Dateisystem und Lese- und Schreibzugriffe in die Registry. Makroviren sind im Gegensatz zu binären Computer-Viren nicht hardware- sondern anwendungsspezifisch. Die Voraussetzung für ihren Erfolg ist das Vorhandensein einer bestimmten Anwendung. Makro- und Skriptviren liegen im Quelltext vor, der relativ gut lesbar und analysierbar. Dadurch können sie leichter von Trittbrettfahrern modifiziert werden, um neue Viren zu erzeugen. Eine oft benutzte Makrosprache für Viren ist Visual Basic Script (VBS), die vom Windows Scripting Host (WSH) ausgeführt wird. Dadurch sind VBS-Viren nicht mehr an eine Anwendung gebunden, es genügt wenn der WHS auf dem Rechner installiert ist. Damit sind VBS-Viren nicht für eine Anwendung spezialisiert und können auf Daten aller Anwendungen zugreifen, z.b. das Adressbuch von Outlook, das von VBS-Würmern genutzt wird, um sich selbst per zu verbreiten. 32

33 2.2.1 Computer Viren Beispiel: VBS-Virus Internal Überschreibt alle.htm und.html Dateien im lokalen Verzeichnis und allen darüberliegenden Ordnern durch eine Kopie seiner selbst. VBS-Skript ist in eine Webseite eingebettet <body OnLoad= CheckIt(); > Beim Laden der Webseite wird das VBS.Skript aufgerufen Wir sehen uns nun ein Makro-Virus genauer an. Es handelt sich um das VBS-Virus Internal, welches HTML-Seiten befällt. Das VBS-Skript des Virus ist in eine Webseite eingebettet und überschreibt alle.htm bzw..html Seiten des lokalen Verzeichnisses und allen darüber liegenden Ordnern. Das Virus ist eine HTML-Datei, bei deren Aufruf das VBS-Skript ausgeführt wird. Mittels des Events OnLoad wird beim Laden der Webseite die VBS-Funktion mit dem viralen Code aufgerufen. 33

34 2.2.1 Computer Viren <script language= VBScript > <! - - Sub CheckIt If location.protocol = file: then Call IsFile End Sub Virus tritt nur in Aktion, wenn das Dokument lokal auf der Festplatte liegt Das Skript überprüft zunächst den Protokolltyp der Webseite. Nur wenn es sich um den Protokollbezeichner file handelt, das Dokument also lokal auf der Platte liegt, tritt das Virus in Aktion. 34