Aufgabe 3 Storm-Worm



Ähnliche Dokumente
Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Electronic Systems GmbH & Co. KG

Bedienungsanleitung für den SecureCourier

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Anleitung zum Prüfen von WebDAV

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

HTBVIEWER INBETRIEBNAHME

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Rechnernetze Praktikum Versuch 8: Zertifikate, Sicherheit in öffentlichen Netzen

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

MSDE 2000 mit Service Pack 3a

SICHERHEIT IM NETZWERK

Anbindung des eibport an das Internet

Praktikum IT-Sicherheit

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Anleitung zum Prüfen von WebDAV

Avira Professional Security/ Avira Server Security Version 2014 Release-Informationen

Durch Drücken des Buttons Bestätigen (siehe Punkt 2) wird Ihre an Ihr Outlookpostfach weiterleiten.

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Firewalls für Lexware Info Service konfigurieren

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Bedrohung durch Cyberangriffe - Reale Gefahr für Ihr Unternehmen. Networker NRW, 23. Oktober 2012, S-IHK Hagen

Collax PPTP-VPN. Howto

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Ein buchner Unternehmen: Starke Software Gmbh Lise-Meitner-Str Schwentinental Tel.:

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

VIDA-LOGDATEIEN VIDA ALL-IN-ONE

Tipps zur Verbesserung der Sicherheit im Online-Banking

Übung - Konfigurieren einer Windows 7-Firewall

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Powermanager Server- Client- Installation

Parallels Mac Management 3.5

FTP-Leitfaden RZ. Benutzerleitfaden

Beschreibung Installation SSH Server für sicher Verbindung oder Bedienung via Proxyserver. (Version 5.x)

Anleitung Captain Logfex 2013

Hochschulrechenzentrum. chschulrechenzentrum #96. Freie Universität Berlin

POP -Konto auf iphone mit ios 6 einrichten

Firewalls für Lexware Info Service konfigurieren

Whitepaper. Produkt: combit address manager / Relationship Manager. Client-Verbindungsprobleme beheben. combit GmbH Untere Laube Konstanz

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Anleitung zum erstellen einer PDF-Datei aus Microsoft Word

Einführung in die Informationstechnik. VII Handyviren Anonym im Netz surfen

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

TIA - Rechenzentrum. Systemvoraussetzungen

TeamSpeak3 Einrichten

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Windows 7 Firewall Regeln über die Registry

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

System-Update Addendum

Sie finden im Folgenden drei Anleitungen, wie Sie sich mit dem Server der Schule verbinden können:

A1 Desktop Security Installationshilfe. Symantec Endpoint Protection 12.1 für Windows/Mac

Installation eblvd (Fernwartung)

How to install freesshd

Installationsvoraussetzungen

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Infection Proxy?! dafuuq?!

Installation von MailON2!

IT-Sicherheit heute (Teil 4) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Sicherer Datenaustausch mit EurOwiG AG

FTP Server unter Windows XP einrichten

FileMaker Go 13 ohne Connects

Installation von horizont 4 bei Verwendung mehrerer Datenbanken

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Bitte beachten Sie. Nur für Kabelmodem! - 2 -

Installation OMNIKEY 3121 USB

Eine Open Source SSL VPN Lösung. Patrick Oettinger Deutsche Telekom AG 2. Ausbildungsjahr

Übung - Konfigurieren einer Windows Vista-Firewall

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Woher kommt die Idee Internet?

LANiS Mailversender ( Version 1.2 September 2006)

FTP-Leitfaden Inhouse. Benutzerleitfaden

PRAXISMANAGEMENT FÜR DIE ZAHNARZTPRAXIS, MKG - CHIRURGIE UND KLINIK PRO X DENT MKG ZMK UMSTELLUNG DER INSTALLATION AUF NETZLAUFWERK

SHAREPOINT Unterschiede zwischen SharePoint 2010 & 2013

Electronic Systems GmbH & Co. KG

1 Kurzanleitung IMAP-Verfahren

Anbindung von Thunderbird an (mit Kalender und Kontakten) Besuchen Sie uns im Internet unter

Sichere Freigabe und Kommunikation

Schritt-für-Schritt-Anleitung So verschlüsseln Sie Ihr -Konto in Outlook 2010

Kurzanleitung BKB-E-Banking-Stick

GeODin 7 Installationsanleitung

Kombinierte Attacke auf Mobile Geräte

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Dieser Artikel beschreibt die Veröffentlichung eines Microsoft SQL Server 2000 über einen ISA Server 2004.

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Transkript:

Aufgabe 3 Storm-Worm Bot: kompromittierte Maschine Kommunikationskanal, der dem Angreifer die Kontrolle über den Bot und somit das System gestattet Botnetz: Zusammenschluss mehrerer Bots koordinierte Distributed-Denial-Of-Service-Angriffe (DDoS) zentralisierte Kontrollstruktur: Command&Control-Server (klassisch) P2P-Botnetz: Bots sind sowohl Server als auch Client 1

Aufgabe 3 Storm-Worm Kommunikation: eigener IRC-Server und Befehle über Channel Bots verbinden sich autonom zu diesem Channel, um auf Befehle zu lauschen. HTTP-Server Verschlüsselung der Botkommunikation möglich P2P: Verteilte Hash-Tabellen (z. B. Protokoll Kademlia) Remote Procedure Calls um Informationen auszutauschen (Overlay network) 2

Aufgabe 3 Storm-Worm Storm-Worm hybrides Botnetz aus P2P-Komponenten und wenigen zentralen Kontrollkomponenten Auch als Peacomm, Zhelatin, Nuwar und Peed bekannt Einsatz einer Vielzahl erstmalig kombinierter Techniken Architektur ändert sich relativ schnell 3

Verbreitungsmechanismen: Aufgabe 3a) Storm-Worm 4

Verbreitungsmechanismen: Anhang von E-Mails Spammails Aufgabe 3a) Storm-Worm Social Engineering: (Harmlose) Datei herunterzuladen, bei der es sich um eine Storm-Binärdatei handelt Browser-Exploits ausnutzen (meist ältere), die jeweils die unbemerkte Installation des Bots auf einem Windows32-System ermöglichen (Drive-by-Download) bei Datei-Ausführung wird PC infiziert: Zombie des Botnetzes (Merkmal: Trojaner) Verbreitung in Blogs 5

Aufgabe 3b) Storm-Worm Aufgaben: 6

Aufgabe 3b) Storm-Worm Aufgaben: Versenden von Spam Teilnahme an DDoS-Angriffen 7

Systemverhalten Infektion: Aufgabe 3b) Storm-Worm 8

Systemverhalten Infektion: Aufgabe 3b) Storm-Worm Storm-Datei: Zunächst wird ein Teil der enthaltenen Daten per XOR-Operation entschlüsselt entschlüsselte Datenbereich (Code) ist verantwortlich für die Infektion von Systemtreibern, Erstellen von benötigten Dateien und das Entschlüsseln des eigentlichen Bot-Codes Umgehen des Windows-Dateischutz durch eine undokumentierte API- Funktion, um Systemtreiber mit dem Einsprungspunkt des Rootkits zu infizieren. Eintragung in der Registry, die die Windows-Firewall für den Bot deaktiviert 9

Aufgabe 3b) Storm-Worm Funktionen: 10

Aufgabe 3b) Storm-Worm Funktionen: Websites mit Links auf Schadcode modifizieren Generell: Sammlung von Daten, speziell Emailadressen DoS-Attacken gegen Anti-Spam- und Anti-Malware-Unternehmen Selbstverteidigung des Netzes: DoS-Attacken bei auffälligem Verhalten (viele Downloads Storm-Binärdatei) 11

Aufgabe 3b) Storm-Worm Tarn-Techniken, Rootkit-Techniken: 12

Aufgabe 3b) Storm-Worm Tarn-Techniken, Rootkit-Techniken: Einsatz von server-based Polymorphismus: Code des Programms neu verschlüsselt und mit einem Laufzeitpacker komprimieren Unterschied in Größe und somit auch in MD5-Checksumme Exploit-Generierung dynamisch durch Javascript Erkennung, ob System in einer virtuellen Maschine Bot stellt seine Funktion ein oder bringt die virtuelle Maschine zum Absturz Storm-Binary wird aus der Liste der ausgeführten Prozesse ausgeblendet und alle von Storm angelegten und benötigten Dateien werden versteckt. 13

Aufgabe 3b) Storm-Worm Tarn-Techniken, Rootkit-Techniken: sicherheitsrelevante Systemdienste, sowie Sicherheitssoftware von Drittherstellern, wie Firewalls und Antivirenprogramme werden deaktiviert Eintragungen in der Windows-Registry Fast-Flux Netzwerk neuere Storm-Varianten: Verschlüsselung der P2P-Kommunikation (Overnet) Vorbereitung zum Verkauf von Teilen des Botnetzes 14

Aufgabe 3c) Storm-Worm Betriebsmodi: 15

Aufgabe 3c) Storm-Worm Betriebsmodi: Spam-Bot, falls PC hinter NA(P)T-fähigem Gerät (z. B. Router), auch Teilnahme an DDoS-Angriffen möglich Gateway, falls alle Ports frei zugänglich (sog. Superknoten) Wahl Betriebsmodi anhand P2P-Kommunikation feststellbar 16

Aufgabe 3c) Storm-Worm Spam-Bot: 17

Aufgabe 3c) Storm-Worm Spam-Bot: durchsucht die Festplatten des Computers nach E-Mail Adressen (Spyware) Ziel: massenhaftes Versenden von Spam E-Mails Mailtypen: Verbreitungsmails & kommerzielle Mails 18

Aufgabe 3c) Storm-Worm Gateway: 19

Aufgabe 3c) Storm-Worm Gateway: Vermittlungsstelle zwischen Spam-Bots und Kontrollknoten Kommunikation mit den Kontrollknoten per HTTP 20

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback