Fritzi infiziert Die List des Odysseus Malware-Odyssee 2009 Alcatraz Softwareentwicklungs GmbH Referent: Hansjörg Pfister Datum: 08.04.2009
Was ist die List des Odysseus? Bedrohung früher: Eindringen unbefugter / unerwünschter Personen / Programme von aussen. Ziel: Aufmerksamkeit erringen, Schaden anrichten. Vorwiegend Einzeltäter Dann: Durchgehender Einsatz von Firewalls. Verbindungen in der Regel nur von innen nach außen möglich. Bedrohung heute: Die List des Odysseus. Dem Benutzer wird in vielfältiger Weise unerwünschter Programmcode untergeschoben. Ziel: Geld verdienen, politische und militarische Motivation. Hochprofessionelle Teams.
Wer ist die schöne Helena? Spionage Passwörter, PINs, TAN's andere vertrauliche Daten Industriespionage Bots / Botnetze Spam-Versand DDOS Angriffe Verschleierung der eigenen IP-Adresse (Anonymisierung) Relaisstationen zur Weiterverbreitung illegaler Daten (z.b. Kinderpornographie) Alle diese Dinge setzen vorraus, dass von innen nach außen eine Verbindung aufgebaut werden kann
Es muss nicht immer ein Pferd sein! Wie greife ich jemanden mit einem Bild an? Angriff erfolgte via AutoPlay-Funktion Hauptverbreitungsweg des Conficker Wurms. Massnahme: AutoPlay Funktion abschalten! Windows XP: Patch hilft, beseitigt das Problem aber nicht! Social Engineering: Die beste Firewall sitzt nicht im sondern vor dem Computer! Die Dreisam bei Buchheim: Trügerische Idylle!
Odysseus für Fortgeschrittene Angriff auf die MIME-Sniffing Funktion des Internet-Explorers 7 Mime - Sniffing ist Schutzsoftware (im IE7 eingebaut zum Schutz vor schädlichen Inhalten). Beispiel dafür, dass Schutzsoftware selbst Angriffsziel werden kann. Sicherheitslücken können entstehen, die ohne die Schutzsoftware nicht vorhanden wären. Angriff erfolgt via eingebettetem Java Script Code. Angriffsziel: XSS und Phishing Was kann erreicht werden? Ausspähen von Passwörtern der aktuellen Session Stehlen des aktuellen Session-Cookies Ausgangspunkt eines Mehrstufen-Angriffs Gegenmassnahmen: Geofirewall, speziell: Hoffen auf Patch (Software Update), anderer Browser.
Trojas Albtraum: Exploits! Was ist ein Exploit? Exploits sind Code Injection Techniken Fremder Programmcode wird über eine Schwachstelle in den Speicherkontext des angegriffenen Programms injeziert und ausgeführt. Wie gefährdet ein Exploit Ihr System? Ein Vortrojaner (Dropper) kann aus dem Internet heruntergeladen werden, dieser lädt dann weitere Schadsoftware nach und installiert diese. Durch Exploits können auch Admin-Rechte erlangt werden.
Neues aus Troja Die schlechten Nachrichten (Auszug): Conficker Wurm benutzt auch einen bestimmten Exploit: Greift SMB Server an (Port 445): NetPathCanonicalize. Ergebnis: Download und Ausführung fremden Programmcodes Wurm hat im Erfolgsfall auch gleich Admin-Rechte, bei Misserfolg wird versucht schwache Netzwerk-Admin Passwörter zu knacken. Wurm unterläuft Personal Firewalls durch DLL-Injection (svchost.exe) Conficker C erstellt auch eigene Firewallregeln Deaktiviert eine Reihe von Antivirus Produkten. Wurm ist sehr anhänglich. Conficker C versucht Online Updates zu verhindern
Neues aus Troja Die guten Nachrichten: Port 445 von aussen nicht erreichbar (Firewall blockt), Exploit - Angriff deswegen nur innerhalb des Intranets möglich. Patch verfügbar (Windows Update). Antivirenhersteller bieten spezielle Conficker Entfernungs -Tools an. Eingeschränkte Benutzerrechte helfen (bei Infektion via USB). Conficker C bekämpft aktiv konkurrierende Schadsoftware Ukrainisches Tastaturlayout schützt zuverlässig vor Infektion
Innertrojanische Umzäunungen Virenscanner: c a nne r: Erke Erkennungsrate n n g s ra bei b e i bekannten b e n n n Schädlingen h ä d g e n ca. > 9 984% %. (McAffee) bis 99,2%(Avira). Erke Erkennungsrate n n g s ra bei b e i unbekannten b e n n n Schädlingen h ä d g e n cdurch a. 5 0 % Heuristik (le tzte r / C'T Behavouristik Te s t). ca. 50% (letzter C'T Test). Ein Vire n s c a n n e r is t n ur d ie le tzte Ve rte id ig un g s lin ie. Ein Erkennt Virenscanner der Scanner ist nur eine die Schadsoftware letzte Verteidigungslinie. auf der Festplatte ist meist vorher Erkennt schon der etwas Scanner schiefgelaufen. eine Schadsoftware auf der Festplatte ist meist vorher schon etwas schiefgelaufen. IDS /IP S (Intrus io n De te c tio n /P re v e n tio n S ys te m ): Virenscanner werden von Schadsoftware abgeschaltet oder die IDS/IPS Schadsoftware un d Vire versteckt n s c a n n esich r h a b(rootkits). e n s ic h in ih re r Fun ktio n a litä t a n g e g lic h e n, d e s w e g e n g ilt für d ie s e Äh n lic h e s. IDS/IPS la ufe n m e is te n s a uf s pe zie lle n e xte rn e n Ge rä te n, d e s w e g e n s in d d ie s e schwerer angreifbar als Virenscanner, PC Performance wird nicht belastet
Innertrojanische Umzäunungen V ire ns c a nne r: IDS / IPS Erke (Intrusion n n un g sdetection ra b e i b e / kaprevention n n te n Sc h äsystem), d lin g n > netzwerkbasiert: 9 9 %. IDS/IPS Erke nund n gvirenscanner s ra te b e i un b haben e ka n n tesich n Scin h äihrer d lin gfunktionalität e n c a. 5 0 % (leangeglichen, tzte r C'T Te s t). deswegen gilt für diese Ähnliches (Deep Scan). Ein Vire n s c a n n e r is t n ur d ie le tzte Ve rte id ig un g s lin ie. IDS/IPS Erkennt laufen der meistens Scanner auf eine speziellen Schadsoftware externen Geräten, auf der Festplatte deswegen ist sind meist diese schwerer vorher schon angreifbar etwas als schiefgelaufen. Virenscanner, PC Performance wird nicht belastet IDS /IP Malware S (Intrus wird ionur n Derkannt, te c tio n wenn /P re vdiese e n tio n sich S ysüber te m ): das Netzwerk verbreitet Erkennung IDS/IPS un weitgehend d Vire n s c asignaturbasiert, n n e r h a b e n s ic h schlechtere in ih r FunErkennung ktio n a litä t aunbekannter n g e g lic h e n, Malware d e s w e g e n g ilt für d ie s e Äh n lic h e s. IDS/IPS la ufe n m e is te n s a uf s pe zie lle n e xte rn e n Ge rä te n, d e s w e g e n s in d d ie s e schwerer angreifbar als Virenscanner, PC Performance wird nicht belastet
Innertrojanische Umzäunungen VPersonal ire ns c afirewalls: nne r: Personal Erke n nfirewalls un g s ra te arbeiten b e i b e kaapplikationsspezifisch! n n te n Sc h ä d lin g e n > 9 9 %. Archillesferse Erke n n un g s ra der te bschadsoftware e i un b e ka n n te n wird Sc hgetroffen: ä d lin g e n c a. 5 0 % (le tzte r C'T Te s t). Die Fähigkeit von innen eine Verbindung ins Internet aufzubauen. Ein Vire n s c a n n e r is t n ur d ie le tzte Ve rte id ig un g s lin ie. Personal Erkennt Firewalls der Scanner lassen sich eine leicht Schadsoftware austricksen, auf siehe der Conficker Festplatte Wurm. ist meist vorher schon etwas schiefgelaufen. AlcatrazPlus: IDS /IP S (Intrus io n De te c tio n /P re v e n tio n S ys te m ): Externe (Hardware-) Firewalllösung IDS/IPS un d Vire n s c a n n e r h a b e n s ic h in ih re r Fun ktio n a litä t a n g e g lic h e n, Kann d e s w unter e g e n ganderem ilt für d ie - s auch e Äh napplikationsspezifisch lic h e s. filtern. Läuft IDS/IPS auf einem la ufe n externen m e is te n s Gerät a uf s mit pe zie einem lle n e speziell xte rn e n gehärtetem Ge rä te n, d e s w e g e n s in d d ie s e Linux Betriebssystem. schwerer angreifbar als Virenscanner, PC Performance wird nicht belastet Kann deswegen nicht umgangen werden und ist nur schwer angreifbar.
Homer legte der Odyssee keinen Bauplan für das hölzerne Pferd bei! Dies ist kein Hacker - Vortrag! Für mich heißt das: Detailierte Kenntnisse über die Funktionsweise von Schadsoftware sind wichtig: Entwicklung wirksamer Gegenmassnahmen. Kompetente Beratung: Welche technischen Massnahmen sind sinnvoll? Evaluation Sicherheits-Technologien
Homers Vermächtnis Für Sie bedeutet das : Keine Panik, aber ein gesundes Technik - Misstrauen. Bewußtsein für die Gefahren, die richtigen Fragen stellen. Der Admin (intern + extern) hat oft keine Zeit und kann auch nicht alles wissen. Mitarbeiterschulung (Die beste Firewall sitzt vor dem Computer) Vermeiden Sie IT- Unglück!
Homers Warnung Denn im Unglück altern die armen Sterblichen frühe. Homer, Odyssee 19, 360 Vielen Dank für Ihre Aufmerksamkeit!
Alcatraz Softwareentwicklungs GmbH Entwicklung der Firewalllösung AlcatrazPlus Auftragsprogrammierung (System- und Anwendungsentwicklung, Datenbankprogrammierung) IT Systemadministration / Beratung (Desktop - Security) Tel.: 07663-940160 HTTP://www.alcatrazplus.de HTTP://www.alcatrazplus.de/DreisamXSS.jpg