Seminar Hacking und Hackerabwehr Viren, Würmer und Trojaner

Document Sample
Seminar Hacking und Hackerabwehr Viren, Würmer und Trojaner Powered By Docstoc
					                             Seminar
                    Hacking und Hackerabwehr
                   Viren, Würmer und Trojaner

                    1.    Einführung
                    2.    Selbstschutz
                    3.    Ausbreitung
                    4.    Verteidigung
                    5.    Beispiele
                    6.    Diskussion                                                   Sébastien Anselment
                                                                                       02. Dezember 2004

Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 1   http://www.tm.uka.de     Sébastien Anselment – 02. Dezember 2004




                         1.1 Klassifikation von Malware
•    Malware = Viren, Würmer und Trojaner u.a.
            Engl.: Abkürzung für „MALicious softWARE“


•    Gemeinsamkeiten:
            Schadensfunktion
            Mobiler Code


•    Unterschiede:

                               Viren                    Würmer                             Trojaner


        Hauptzweck                                      Verbreitung                        Zugriff auf
                               Schaden
                                                                                           Rechner

                                  Selbstständig                                            Dateien
                    üblicherweise
        Ausbreitung               (z.B. eigener SMTP-                                      (oft über Social
                    Dateien
                                  Server)                                                  Engineering)



Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 2   http://www.tm.uka.de     Sébastien Anselment – 02. Dezember 2004
                        1.1 Klassifikation von Malware
Virus:
            Verbreitung: Kopien über z.B. Disketten, E-Mail-Anhänge, …
            Verbreitung ist von menschlicher Hilfe abhängig

            Möglichst viele Dateien infizieren
Wurm:
            Verbreitung: von System zu System über Netzwerke
            Verbreitung läuft selbstständig ab (z.B. eigner SMTP-Server)

            Möglichst schnell viele Systeme befallen
Trojaner (Trojanisches Pferd):
            Tarnung als nützliches Programm
            Verbreitung: wirbt mit der Nützlichkeit des Wirtsprogramms für
            seine Installation durch den Benutzer („social engineering“)

            Backdoors oder Spyware installieren
            Unbemerkt sensible Daten ausspähen


Beliebige Kombinationen:
            Beispiele: Wurm mit Schadfunktion, Virus mit Backdoor

Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 3   http://www.tm.uka.de        Sébastien Anselment – 02. Dezember 2004




                        1.2 Schädlingsgeschichte
         1979      John Shoch und Jon Hupp von Xerox
          1983      Fred Cohen
              1986     „Brain“ (V), „Viredem“ (V)
                1987     „Christmas Tree“ (V)
                 1988      „Jerusalem“ (V), „Morris“ (V) (Schaden ca. 100 Millionen US$)
     1. Welle:      1989      „AIDS“ (V)
   Experimentell
                      1990       „Chamelon“ (V)
                                     1991          Erste „Construction-Kits“
                                         1992           „Michelangelo“ (V)
                                     1995     „Concept“, „Laroux“ (erste Makro-Viren)
            2. Welle:
    Plattform übergreifend,            1998     „cih“ alias „Tschernobyl“ (V), „Back Orifice“ (T)
    Polymorphe Schädlinge                1999      „Melissa“ (V), „ExploreZip“ (W) (je 1 Milliarde US$)
                                           2000       „I-Love-You“-Wurm alias „VBS.Loveletter“
                                                                 (Schaden ~8,7 Milliarden US$)
                           3. Welle:           2001        „Kournikova“, „Naked Wife“, „SirCam“,
                        Massen-E-Mailer                       „Badtrans“, „Code Red 1&2“, „Nimda“ (W)
                             4. Welle:                          2003            „Blaster“ (W)
                   Gefährlich, schnell, komplex                     2004               „Bagle“, „EPOC.Cabir“ „Sasser“,
                                                                                         „Mydoom“, „Phatbot“, … (W)
      Zukunft: Super-Würmer?
Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 4   http://www.tm.uka.de        Sébastien Anselment – 02. Dezember 2004
                        2 Selbstschutz von VWT
Viren, Würmer und Trojaner können sich nur solange fortpflanzen bis sie
    entdeckt werden.
   Ziel: unentdeckt bleiben

Schutz vor Entdeckung:
            Armoring
            Self-Encryption
            Polymorphic Mutation
            Stealth
            Tunneling




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 5   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        2.1 Selbstschutz von VWT
Armoring:

      Debugging verhindern
        Struktur bzw. Ziel schwer erkennbar
        Desinfektionsroutine wird später erstellt
        Zeitvorteil

      Beispiel: „Winevar“-Virus




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 6   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        2.2 Selbstschutz von VWT
Self-Encryption:

      Nach geglückter Infektion auf andere Art verschlüsseln
        Verschlüsselungsroutine immer dieselbe
        Ständiges Ändern der Muster
        Signaturerstellung erschwert




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 7   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        2.2 Selbstschutz von VWT
Polymorphic Mutation:

      Folgt Prinzip des Self-Encryption, allerdings zusätzlich:

      gesamte Verschlüsselungsroutine nach erfolgreicher Infektion verändern
        Muster von zwei Schädlingen desselben Ursprungs völlig unterschiedlich
        Erkennung von Strings nahezu unmöglich
        Implementierung von algorithmischen Suchverfahren nötig
        Signaturerstellung deutlich erschwert

      Beispiel: „Pathogen“-Virus




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 8   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        2.4 Selbstschutz von VWT
Stealth:

      Vorraussetzung: Schädling muss speicheransässig sein

      Verbergen der sichtbaren Symptome für eine mögliche Infektion
        Diese wären z.B.:
                 Änderung der Dateigröße
                 Änderung des Dateidatums bzw.
                 Änderung des Zeitpunktes der Dateierstellung
           Tarnungsmethoden nötig um nicht wahrgenommen zu werden
           Möglichkeiten:
                 Lesezugriff sperren
                 Datei verstecken


      Beispiel: „Brain“-Virus




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 9    http://www.tm.uka.de    Sébastien Anselment – 02. Dezember 2004




                        2.5 Selbstschutz von VWT
Tunneling:

      Motivation: Schutzprogramme umgehen

      Methode:
        Originalspeicheradressen von Systemdiensten durch Tunnel erhältlich
                 Direkter Zugriff auf Dienst möglich
           Systemdienst wird abgefangen
                 Schutzprogramm wird umgangen

                 Beispiel:
                     – Schädling im Bootsektor


      Schutzprogramme in der Lage vor solchen Vorgängen zu warnen




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 10    http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        3.1 Ausbreitung von VWT
Möglichkeiten zur raschen Ausbreitung von Viren, Malware und Würmern:
                                                                                               Anzahl Sicherheitslücken
•    Infection Vectors (Linux, P2P, IRC, IM, …)                                                1995-2004: 15.629
           Möglichkeiten in unterschiedliche Systeme einzudringen


•    Social Engineering
           Nutzt Techniken der Beeinflussung und Überredungskunst, falsche Tatsachen
           vorzutäuschen
           Bekannt geworden durch den Hacker Kevin Mitnick
           „Sex sells“ – Beispiel: „Anna Kournikova“
           Weitere Beispiele:
                 „Happy99/Ska Wurm/Trojaner“ mit „Happy99.exe“ im E-Mail-Anhang
                 „PrettyPark“ mit „Pretty Park.exe“ im E-Mail-Anhang


•    Blended Attacks
           Kombination obiger Möglichkeiten
           Beispiel: „Morris“-Virus
Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 11   http://www.tm.uka.de       Sébastien Anselment – 02. Dezember 2004




                        3.2 Ausbreitung von Würmern
Ausbreitung von Würmern:                                            Zusätzliche Motivation zur Erstellung:
                                                            Ø Mietkosten / h für „Zombie“-Rechner bzw. „Bot-Netz“:
      Ziel für Würmer:
         rasante Verbreitung                              100 US$
         schneller als jegliche menschliche Reaktionszeit
                                                                                  Anzahl
                                                                                befallene
Von Autor zu berücksichtigende Aspekte:                                         Systeme

           Protokolle verstehen
           Threadkonzept richtig einsetzen
           keine eigene Behinderung des Wurmes (s. Grafik)
                                                                                                                         Bandbreite


Im Weiteren vorgestellt:
           Hit-list Scanning
           Flash Worms
           Permutation Scanning
           Warhol Wurm
           Topological Scanning

Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 12   http://www.tm.uka.de       Sébastien Anselment – 02. Dezember 2004
                        3.2.1 Hit-list Scanning
      Motivation:
              Lang andauernde Startphase beschleunigen („Bootstrap“)


      Methode:
        Sammlung geeigneter Ziele vor Freisetzung des Wurms
        Dem Wurm Liste mitgeben
        Einmal auf solch einem Rechner angekommen die komplette Liste abarbeiten
        Bei jedem neuen Befall Liste in zwei Hälften teilen
           nach wenigen Sekunden Liste abgearbeitet


            Anzahl                                                           Anzahl
          befallene                                                        befallene
          Systeme                          Ohne                            Systeme
                                                                                              Mit
                                           Hit-list                                         Hit-list
                                          Scanning                                         Scanning


                                                    t                                                          t




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 13   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        3.2.1 Hit-list Scanning / Flash Worms
Mögliche Strategien zur Erstellung der Hit-list:
           Stealthy Scans
           Distributed scanning
           DNS searches
           Spiders
           Public surveys
           Just listen

Flash Worms – Variante des Hit-list Scanning:

           Über Zugang mit hoher Bandbreite gesamtes Internet scannen
           Ca. zwei Stunden benötigt für gesamten Adressraum
           Größe der Gesamtliste unkomprimiert ca. 48 MB
           Optimale Hit-list erstellbar an Hand vorliegender IPs und offener Ports
           Threadfähiger Wurm kann vor kompletter Erstellung der Hit-list Infizierung
           beginnen


Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 14   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        3.2.2 Permutation Scanning / Warhol Wurm
      Motivation:
              Ineffizienz des Mehrfach-Scannens eines Systems verringern


      Methode:
        Permutation erlaubt infiziertes System zu erkennen
        Bei Scan eines bereits infizierten Systems wird lokal zu scannender IP-
        Adressraum geändert
        Weitere Verbesserung wenn Wurm von System zu System kommuniziert



Warhol Wurm
           Kombination von hit-list und permutation scanning
           Alle gefährdeten Systeme in weniger als 15 Minuten angreifbar
           Benannt nach Andy Warhol auf Grund seiner Aussage:
           „In the future everybody will be world famous for fifteen minutes." (1968)




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 15   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        3.2.3 Topological Scanning
      Motivation:
              Lokale Informationen auf gescanntem System für effektivere Verbreitung nutzen


      Methode:
        Infiziertes System nach potentiellen Zielen durchsuchen:
                 E-Mail-Adressen
                 URLs
                 lokale Netze


           Hosts in P2P-Netzwerken als Basis der Verbreitung sehr geeignet
           Zusätzlich: als Basis für Permutation Scanning




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 16   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        4 Verteidigung vor VWT
Verteidigungsmöglichkeiten vor Viren, Würmern und Trojanern:

      Möglichst automatisches Erkennen auf Basis von Signaturen

           Soziale Instrumente:
                 Keine Diskettenlaufwerke
                 temporäre Netzabkopplung
                 Stilllegung von Diensten
                 Gegenseitige Warnung
                 Krisenpläne erstellen
                 „Blacklists“ / „Whitelists“ („Origin approach“)


           Internationale Organisation einrichten
           z.B.: Cyber „Center for Disease Control“




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 17   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        4.1 Cyber „Center for Disease Control“
Aufgaben:

           Ausbrüche feststellen
           Rasche Analyse von Schädlingen
           Infektionen bekämpfen
           Neue Angriffsziele voraussehen
           Erkennungsmodule für neue Angriffsziele
           erstellen
           Durch neue Programmierrichtlinien Angriffe
           unmöglich machen




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 18   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        4.2 Verbreitung von Würmern behindern
Möglichkeiten Würmer zu behindern:

           Verdächtige Muster im Netzwerkverkehr erkennen und analysieren
                 Sensoren in Backbones scannen Netzverbrauch und -muster




           „Wurmdrosseln“
           Schnelle gesicherte Kommunikation unter Fachleuten
           Architekturen und Algorithmen:
                 Generic Worm Detection Architecture
                 Victim Number Based Algorithm
                 Traffic Trace Used To Validate The Algorithm
                 Validation of Victim Number Based Algorithm


Probleme: „Flash Crowds“ bzw. „Slashdot“-Effekt

Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 19   http://www.tm.uka.de      Sébastien Anselment – 02. Dezember 2004




                        5.1 Beispiele von Würmern & deren Verbreitung
•    CRv1
           Ab 13. Juli 2001
           Nutzte „.ida“-Lücke (buffer overflow in IIS Webservern von Microsoft
           (CVE-2001-0500) )
           Nach Befall 99 Threads, die zufällige IPs angriffen
           Schwerer Bug in CRv1: Zufallsgenerator lieferte immer selbe IP-Sequenz
             nur lineare Verbreitung
                                                                                        Wirtschaftlicher Schaden weltweit:
•    Code Red I alias CRv2                                                                     2,6 Milliarden US$
           Ab am 19. Juli 2001
           Neuerungen:
                 Zufallsgenerator-Bug behoben
                 Schadensroutine um Webseiten zu verunstalten
                 DDOS-Attacke auf www.whitehouse.gov
           Beendete sich am 19. Juli 2001 um Mitternacht
           Durch falsch gestellte Systemuhren weitere Verbreitung
           Reaktivierung im Code am 1. August 2001
           In dieser Zeit wurden nur etwa 50% der Systeme gefixed

Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 20   http://www.tm.uka.de      Sébastien Anselment – 02. Dezember 2004
                        5.1 Code Red I alias CRv2 - Animation
                                  Wirtschaftlicher Schaden weltweit: 2,6 Milliarden US$




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 21   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        5.2 Code Red II alias CRv3
•    Code Red II alias CRv3
           Erschien am 4. August 2001
           Nutzte wiederholt die „.ida“-Lücke der IIS Webserver
           Schadroutine installierte root backdoor
           Infektion nur auf Win2k Rechnern; WinNT erlitt vor der Infektion einem Crash
           „Single-stage scanning“ (Suche über zufällige IPs)
           „Localized scanning“ vom infizierten Rechner aus
                 Zu ⅜ zufällige IP aus class B Adressraum    schnelle Verbreitung im Intranet
                 Zu ½ zufällige IP aus dem eigenen class A Adresseraum
                 Zu ⅛ zufällige IP aus dem gesamten Internet




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 22   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                        5.3 Nimda
•    Nimda
           Ab 18. September 2001
           „Multi vector“ bzw. „multi mode“ Wurm, d.h. verschiedene
           Verbreitungsstrategien:
                 Microsoft IIS Web Server Schadenanfälligkeit ausnutzen
                 Bulk E-Mails mit Anhang per Absenderadressen des befallen Rechners
                 (Firewalls ließen E-Mails meist ununtersucht passieren)
                 über öffentliche Tauschbörsen
                 Schädlicher Code in Webseiten kompromittierter Web Server
                 Scannen nach backdoors von „Code Red II“ und dem „sadmind“ Wurm
           Führte zu jeweils 100 Scanns pro Sekunde
           Verbreitete sich rasant und über viele Monate hinweg




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 23   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                        5.4 Anzahl der Angriffe




Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 24   http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004
                            5.5 Trends




       Jahresübersicht 1997                                   Jahresübersicht 1998                 Jahresübersicht 1999




                                                                                                                             Sonstige:
                                                                                                                             Boot, Multipart.




        Jahresübersicht 2000                                  Jahresübersicht 2001                  Jahresübersicht 2002
Quelle: Bundesamt für Sicherheit in der Informationstechnik

 Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 25        http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004




                            Diskussion




                     Vielen Dank für die Aufmerksamkeit.
                                   Fragen?




 Seminar Hacking und Hackerabwehr – Viren, Würmer, Malware – 26        http://www.tm.uka.de   Sébastien Anselment – 02. Dezember 2004

				
DOCUMENT INFO
Shared By:
Stats:
views:18
posted:2/1/2010
language:German
pages:13