Betriebssysteme Malware Studiengang Kartographie und Geomatik Dr. W. Jakob 1 Malware Viren, Würmer, Trojaner, Spyware Cybercrime Betriebssysteme Malware Studiengang Kartographie und Geomatik Dr. W. Jakob 2 Malware - Überblick Schadsoftware. Aus dem Englischen: malicious and software. Es gibt verschiedene Arten von Malware. Ausbreitungsarten: 1. Computervirus Verbreitung über infizierte Programme und Datenträger. 2. Computerwurm Verbreitung über Netze wie das Internet oder Peer-to-Peer-Netze (P2P) 3. Trojanisches Pferd Wird in (vermeintlich) nützlicher Software versteckt. 4. Infizierte Websites Schadcode wird beim Aufruf der Website mit übertragen. . . . die Reihe wird fortgesetzt!
Transcript
1
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 1
MalwareViren, Würmer, Trojaner, Spyware
Cybercrime
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 2
Malware - Überblick
Schadsoftware. Aus dem Englischen: malicious and software.
Es gibt verschiedene Arten von Malware.
Ausbreitungsarten:1. Computervirus
Verbreitung über infizierte Programme und Datenträger.2. Computerwurm
Verbreitung über Netze wie das Internet oder Peer-to-Peer-Netze (P2P)3. Trojanisches Pferd
Wird in (vermeintlich) nützlicher Software versteckt.4. Infizierte Websites
Schadcode wird beim Aufruf der Website mit übertragen.
. . . die Reihe wird fortgesetzt!
2
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 3
Malware - ÜberblickWirkungsarten:
1. Belästigend• Gezielte Werbung durch Nutzerprofile (Adware)
2. Destruktiv• Zerstörung von Daten, z.B. Formatierung der Festplatte • Beeinträchtigung der Leistung (Parameter des CMOS-RAM)
3. Kriminell• Übernahme des Rechners für
• Spam-Versendung• Angriffe auf Drittrechner (denial of service (DoS), hacking)
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 4
Malware - Viren
Klassischer Computervirus
Besteht aus zwei Teilen:
1. Ausbreitung:Suchen nach noch nicht infizierten Programmdateien und Manipulation durch Anhängen des Viruscodes an das Programm.
2. Virus-Aktion:Störend bis schädigend. Z.B.• Existenzmeldung• „Joke“-Programme• Datenzerstörung (Löschung, Formatierung der Festplatte, …)• Überschreiben des BIOS oder CMOS-RAMs
Reparatur kann bei fest eingelötetem Flash-RAM zu teuer sein.. . .
3
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 5
Malware - Viren
Virentypen:• Dateiviren
befallen ausführbare Programmdateien oder –bibliotheken.
• Makrovirenbenötigen Anwendungen, deren Dokumente Makros enthalten können,z.B. MS Office-, aber auch OpenOffice-Programme.Spezifischer Schutz: Zertifizierung von Makros und sonst Deaktivierung der Makrofunktion.
• Bootsektorvirenbefallen den Bootsektor von boot-fähigen Medien, wie Festplatten oder Floppies. Denkbar sind aber auch CDs oder USB-Sticks.Spezifischer Schutz: Schreibschutz für den Bootsektor (CMOS-RAM).
• Scriptvirenbefinden sich in HTML-Files (Perl, PHP, JavaScript, …). Setzt Zugang der Angreifer zum Webserver voraus.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 6
Malware - Viren
Schutz vor VirenAchillesverse der Viren: Bei der Ausbreitung muss der Virus erkennen können, ob eine potentielle Wirtsdatei bereits von ihm infiziert ist.Diese so genannte Virensignatur wird von den Virenscannern ausgenutzt.
Schutzmaßnahmen:
1. Virenscanner verwendenScanner und Virensignatur-File ständig aktualisieren (z.B. täglich!)
2. Fremde Datenträger und Downloads vor der Verwendung scannen.Gilt auch für eigene verliehene Datenträger!
3. Java und Java-Script nur aktivieren, wenn es wirklich benötigt wird.
4. Nur dann als Administrator arbeiten, wenn nötig.(Viren benötigen für die Verbreitung Administratorrechte)
4
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 7
2. Bootfähige Notfall-CD mit VirenscannerInfizierten Rechner von CD booten, Virenscanner auf HDD kopieren, aktualisieren und dann den Rechner scannen.
3. Verwendung von sichereren Internetprogrammen (Webbrowser, Mailtools)Insbesondere Mozilla (Firefox, Thunderbird, Seamonkey), Opera, …
4. Wenn Internet-Explorer, dann höchste Sicherheitsstufe und Active-X deaktivieren oder auf Nachfragen stellen!
5. Script-Ausführung in Mails deaktivieren.
6. MS Windows: Bekannte Dateierweiterung NICHT ausblenden! Z.B.: Telefonrechnung.pdf.exe
7. Sicherere Betriebssysteme vor allem fürs Internet verwenden:Linux, Mac OS X
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 8
Malware - Viren
Virenbeseitigung
1. LAN auflösen und damit die Rechner isolieren.
2. Auf jedem Rechner die Viren beseitigen:• Rechner ausschalten und mit Not-CD booten.• Mit aktualisiertem Virenscanner der Not-CD Viren beseitigen.• Rechner ausschalten, erneut mit Not-CD booten und scannen.
3. LAN erst wieder herstellen, wenn alle Rechner sicher virenfrei sind.
4. Auf isoliertem Rechner alle in Frage kommenden Datenträger prüfen.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 9
Malware - Viren und Betriebssysteme
Generell: Es wird angegriffen, was den meisten Effekt verspricht.Also Software, • die möglichst weit verbreitet ist und • vergleichsweise viele Lücken aufweist.
Das trifft auf viele Microsoft-Programme und die MS-Betriebssysteme zu.
Dazu kommen zwei weitere Schwächen:
1. Der kommerzielle Zwang proprietärer SW, immer neue Versionen herausbringen zu müssen. Neue Versionen sind Quellen neuer Lücken.Das ist für Firmen wie Microsoft ein grundsätzliches Problem.
2. Administrator/Benutzer-Problematik – bei Unix, Linux und Mac OS X gelöst– bei Microsoft bis XP gar nicht und bei Vista nicht ausreichend.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 10
Malware - ComputerwürmerAusbreitung über Netze wie das Internet, Peer-to-Peer-Netze, IRC, Instant-Messaging, . . . (Handy-Netze), . . .
Die (derzeit) häufigste Verbreitung erfolgt über Mailanhänge. Wie kann der Benutzer veranlasst werden, den Mailanhang zu öffnen?
Durch Täuschung, Tarnung und das Wecken von Interesse:
• Lange Dateinamen, die länger als das Anzeigefenster sind oder mit Leerzeichen aufgefüllt werden: Rechnung.pdf .exe
• Gefälschte Mails, die zum Teil täuschend echt aussehen und z.B. – eine Telekom-Rechnung sein sollen und einen erschreckend hohen Betrag
ausweisen,– von einer Behörde stammen sollen und eine Strafandrohung enthalten,– einen hohen Lottogewinn versprechen, oder– einen wichtigen (Microsoft-)Update enthalten sollen.
6
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 11
Malware - ComputerwürmerWeitere Verbreitungsarten:• Script in einer HTML-Mail (Thunderbird u.a. erlauben Deaktivierung)
• Browser Helper Objects (InternetExplorer ab Version 4)erlauben die Nutzung aller Browserfunktionen inklusive dem Abgreifen von Zugangsdaten.BHOs sind in der Windows-Registry unter dem Schlüssel
eingetragen. Inspektion und Löschung durch regedit. Vorsicht!
• Instant-Messagingper Link zu einer Website, die den Wurm enthält.
• IRCauch hier muss der Nutzer den Download akzeptieren.
• Peer-to-peer (P2P). Ausbreitung über• gefälschte Suchergebnisse, • eine SW-Lücke durch automatisierte Versendung an die Nachbarschaft
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 12
Malware - Handywürmer
Bisher Ausbreitung meist über Bluetooth und Angriffe auf Symbian OS, das von vielen Handy-Herstellern eingesetzt wird.Durch Einführung eines Zertifikatsystems in Symbian OS wird die Installation
unerwünschter SW erheblich erschwert.
Ab 2005 auch MMS-Würmer.Ab 2007 treten erste Würmer auf, die eine gewisse Gefährdung darstellen.Schaden: Kosten für den Handybesitzer.Verbreitung bisher noch gering.
Allgemeine Schutzmaßnahmen:1. Bluetooth oder Infrarot-Schnittstellen sichern.2. Vorsicht bei Softwaredownloads und Mailanhängen
Experten warnen: Je leistungsfähiger die Handys und Handhelds werden, desto interessanter werden sie für Angriffe.
7
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 13
Malware - TrojanerEine als nützliches Programm getarnte Malware.
Installiert meist die eigentliche Schadsoftware, wie z.B. Keylogger, Spyware, Dialer oder ein Backdoor-Programm. Start durch die Autostartmechanismen beim Booten.
Autostartmechanismen:• Autostart-Ordner im Startmenü• Registry-Einträge in
Trojaner als Schadsoftware:meist als Plugins. So können z.B. Browser-Plugins die Firewall umgehen.
Warum ist der geplante Bundestrojaner nicht harmlos?
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 14
FirewallFunktionen:1. Überwachung der Kommunikation auf IP-Paketebene und Filterung.2. Schließung der Ports für eingehende Kommunikation.
Solange der PC kein Server ist oder in einem Peer-to-Peer-Netz, können ALLE Ports geschlossen werden.
3. Begrenzung des ausgehenden Datenverkehrs auf erlaubte Anwendungen (unsicher!).
Firewalls können über Mittel der Intrusion Prevention verfügen.
Firewalls sind ein notwendiger aber nicht ausreichender Schutz!
Windows-Firewalls:• Ab Windows XP, Servicepack 2 standardmäßig angeschaltet.
Prüft nicht den ausgehenden Datenverkehr.• Ab Vista: Kontrolle des ausgehenden Datenverkehrs, Fernwartungszugang
Es gibt quelloffene und kommerzielle Alternativen, z.B. ZoneAlarm oder von Norton, F-Secure, Kapersky, usw.
8
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 15
Malware - Keylogger
Spezielle Spyware zum Mitschreiben der Tastatureingaben und Versendung der Daten über das Internet
Dient der Ausspähung von Kreditkartennummern oder Zugangsdaten wie Passworten, PINs und ähnlichem.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 16
Malware - SpywareMalware zum Ausspähen des Rechnernutzers.
Ermittlung privater Daten wie• Kreditkartennummern• Bankkonto und PIN• Zugangsdaten, Passwörter
Zweck:• Diebstahl• gezielte Werbung• Ermittlung von nicht lizenzierter Software • Ermittlung unerlaubter Nutzung urheberrechtlich geschützter Musik oder Filme• Begehung von Verbrechen unter falscher Identität
. . .
Spyware ist häufig in (kostenlosen) Downloads enthalten undwird mittlerweile öfters in den AGBs oder Lizenzbestimmungen erwähnt.
• Surfverhalten• Produktnutzung• allgemein:
der Nutzeridentität
Quelle: Stern
9
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 17
Malware - DialerEinwahlprogramme für analoge oder ISDN-Telefonanschlüsse.In Zeiten von DSL im wesentlichen für Fax-Software interessant.Neuere Dialer verlangen die Eingabe der Handynummer, um angeblich irgend
einen Zugangscode oder ähnliches zu versenden.Schaden: Heimlich installierte Dialer bauen unbemerkt eine Verbindung zu
kostenpflichtigen und teuren „Mehrwert“-Diensten auf.
Schutz:• Seit 2003 sind 0190-Dialer unzulässig und damit besteht auch keine
Zahlungspflicht.
• Alle neuen 0900-9-Nummern müssen bei der Bundesnetzagentur registriert sein, um eine Zahlungspflicht zu begründen.
• Sperrung der 0900-9-Nummern beim Telefonanbieter oder der TK-Anlage.(Sperrt aber auch seriöse Anbieter von Faxabruf usw. )
• Gerichte bewerten Dialer-Tricks als Betrug. Problem des Nachweises.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 18
Malware – Backdoor-Programme
Backdoor-Programme öffnen eine Hintertür, über die der Angreifer Kontrolle über den Rechner erhält.
Schaden:Aufbau so genannter Botnets aus Zombie-Rechnern. Damit erfolgen kriminelle Aktivitäten wie• Spam-Versendung
• Versendung von Phishing-Mails
• Ausspähung der Identität. Z.B. Daten aus SSL-gesicherten Formularen
• Verwendung als Proxy, um eigene Identität bei manuellen Angriffen auf Drittrechnern zu verschleiern (Hacking)
• Angriffe auf Drittrechner (denial of service (DoS), Erpressung durch Sperrung oder Verschlüsselung (ransomware))
• Speichermedium für illegale Inhalte.
10
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 19
Malware – Rootkits
Sammlung von Softwarewerkzeugen die unter Administratorrechte installiert wird, um eine Backdoor zu realisieren und die Schadsoftware vor Antiviren-SW zu verstecken.
Rootkits gibt es für alle behandelten Betriebssysteme!
Kernel-Rootkits befallen den Kern des Betriebssystems.Unter Windows häufig als Treiber getarnt (.sys)
So genannte Userland-Rootkits nutzen kompromittierte DLLs und betreffen hauptsächlich MS-Windows. Benötigen keine Administratorrechte.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 20
Malware – SchutzmöglichkeitenEs gibt keinen 100%-igen Schutz! Egal bei welchem BS und welcher SW!
Allgemein:1. Aktuellen Virenscanner verwenden und ständig aktualisieren.2. Firewall benutzen.3. Keine Microsoft-Produkte für das Internet verwenden.
Wenn aber doch, sicher konfigurieren (insbesondere kein ActiveX).4. Im Windows-Explorer die Anzeige bekannter Dateierweiterungen aktivieren.5. Java und Java-Script nur zulassen, wenn notwendig.6. Bei Bekannt werden von Exploits umgehend die Patches für die betroffene SW
installieren.7. Email: Kein automatisches Öffnen von Anhängen.8. Email: Scriptausführung verbieten.9. MS-Windows nicht (für das Internet) verwenden. Wenn aber doch
• nicht als Administrator!• alle sicherheitsrelevanten Updates und Patches umgehend einspielen!
11
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 21
Malware – spezielle Schutzmöglichkeiten
Trojaner:• Keine Software fragwürdiger Herkunft installieren.• Webbrowser: Scriptausführung unterbinden, kein ActiveX.• Viele Trojaner werden von Virenscannern erkannt.• Eine Firewall bietet keinen Schutz vor der Installation!
Sie kann aber auf die Anwesenheit hinweisen.
Keylogger:• virtuelle Tastatur (z.B. zur PIN-Eingabe)
Spyware:• Cookies nur zulassen wenn nötig, nach der Sitzung automatisch löschen.• Anti-Spyware-Programme
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 22
Malware – Verdacht auf BefallErkennungsmöglichkeiten:• Der Rechner wird bei bestehender Internetverbindung merklich langsamer.
• Der Browser verhält sich anders (veränderte Startseite, Werbe-PopUps, …)
• Der PC verbindet sich selbstständig ins Internet.Test: Nach dem Booten keine Aktivitäten am Rechner und DSL-Modem so einstellen, dass die Verbindung nach wenigen Minuten der Inaktivität abgebaut wird. Alarmzeichen, wenn die Internetverbindung nicht abgebaut wird.
• Firewall meldet unmotivierte Verbindungsversuche von (un)bekannter SW.Beispiel: MS-Internet-Explorer will ins Web, obwohl gar nicht gestartet.
• Email: Mit der erweiterten Header-Ansicht den Weg der Email prüfen. Passt der Ursprungsserver zum angeblichen Absender? Wenn nicht: Spam oder Angriff.
12
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 23
Cybercrime - Übersicht
• Identitätsdiebstahl zur Verwendung in Drittsystemen wie z.B. Ebay.
• Verwendung des kompromittierten Rechners zu kriminellen Aktionen wie Spam-Versendung, DoS-Angriffen, Einbruch in fremde Rechner und das alles unter der Identität des Opfers!
• Phishing: „Abfischen“ von Daten vornehmlich aus dem Bereich des Online-Bankings.
• Pharming, das raffiniertere Phishing
• Man-in-the-middle-AngriffAufwändiger und sehr effektiver Angriff auf das Online-Banking
• Scareware, Ausnutzung von Unwissen und Furcht
Fortsetzung demnächst auf Ihrem Rechner . . .
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 24
Cybercrime - Phishing Phishing-Angriffsziele sind Zugangsdaten, z. B. für • Banken (PIN und TANs für das Onlinebanking),• Bezahlsysteme (z. B. PayPal), • Versandhäuser, • Internet-Auktionshäuser
Methode:Eine offiziell anmutende Email fordert unter einem Vorwand zum Besuch einer
Website des Unternehmens auf, um dort die geforderten Daten (z.B. PIN und TANs) einzugeben. Die Mail enthält dazu einen Link.
Die Ziel-URL sieht der echten in der Regel ähnlich oder sogar identisch aus. Täuschung durch z.B. andere Zeichensätze, so unterscheiden sich beispielsweise das kyrillische und das lateinische „a“ nicht von einander.
Schutz:1. Seriöse Unternehmen versenden keine Emails mit Links zu Ihren Webseiten und
fragen unter diesem Link auch keine sensible Daten ab.2. iTANs: Indizierte TANs. Die Bank gibt vor, welche TAN zu benutzen ist.
13
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 25
Cybercrime - Phishing Phishing-Beispiel: Bei einem deutschen Account
wird man nicht auf Englisch angesprochen …
Und meinen Namen kennen die auch nicht !!!
… zu doof zum Tippen!
So muss doch der Link heißen …Nur Facebook ist das nicht!
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 26
Aber auch hier wird man trotz deutschen Accounts auf Englisch
angesprochen …
… und meinen Namen kennen sie auch nicht !
Clever!Schon wirkt die Mail
authentischer.
Aber der Link bringt es an den Tag!Javascript war die Manipulation der
Statuszeile verboten.
14
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 27
Cybercrime - Pharming
Betrug durch manipulierte URLs (Weiterentwicklung des Phishings)Trotz korrekter Eingabe einer URL bzw. Abruf einer korrekten URL aus der
Lesezeichen/Favoriten-Liste landet man auf einer gefälschten Website.
Methoden:1. Gehackter DNS-Server2. Manipulation der Host-Datei durch Viren oder Trojaner.
MS-Windows: hosts oder lmhosts.sam in C:\WINDOWS\system32\drivers\etc
3. Gehackter DSL-Router
Schutz:1. Host-Datei überprüfen.2. DSL-Router durch Passwort sichern.3. Bei Verdacht IP-Adresse ermitteln und in whois-Datenbanken prüfen.4. Sichere Verbindungen laufen über https:// und haben ein Zertifikat.
Im Zweifelsfall das Zertifikat (Fingerprint) per Telefon oder Mail prüfen.
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 28
Cybercrime - Man-in-the-middle-AngriffDer Angreifer kontrolliert die Kommunikation zwischen den Partnern.Setzt URL-Manipulation voraus.
Methode:
Bank
umgeleitete Kommunikation
Man in the middle(Angreifer)
Statt der direkten Kommunikationerfolgt eine Umleitungüber den Angreifer.
Opfer
15
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 29
Cybercrime - Man-in-the-middle-Angriff
Ablauf:Beim Angriff wird eine Überweisung von Kunden entgegengenommen aber nicht an
die Bank weitergeleitet.
Stattdessen erfolgt eine „Störungsmeldung“.
Gegenüber der Bank wird mit der erschlichenen TAN oder iTAN eine manipulierte Überweisung durchgeführt.
Aus Sicht der Bank sieht alles nach einer ungestörten und autorisierten Transaktion aus! Beweisproblematik für das Opfer!!
Wenn die URL-Manipulation nicht nachweisbar ist, hat das Opfer kaum eine Chance, den Betrug zu beweisen!
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 30
Cybercrime - Man-in-the-middle-AngriffSchutz:1. Alle Schutzmaßnahmen des Pharmings.
2. iTANplus: Kontrollbild (Captcha) mit Transaktionsdaten (Betrag, Empfänger-Kontodaten) und Geburtsdatum vor der TAN-Eingabe. Captcha: Bild, das schlecht von SW analysiert werden kann.Erschwert Man-in-the-MiddleAngriff erheblich.
3. mTAN: Die TAN wird zusammen mit Empfängerdaten von der Bank über einen zweiten Kanal (hier Handy) versandt. Gilt als sehr sicher. Bisher keine massentauglichen Angriffskonzepte bekannt.
4. eTAN: TAN-Generator erzeugt TAN aus Empfänger-Kontodaten und Uhrzeit.Bindung der generierten TAN an das Empfängerkonto.Wird als sicher angesehen. Längerer Praxistest steht noch aus.
Manche Banken (z.B. Netbank) setzen soviel Sicherheitsmaßnahmen ein, dass ihre AGBs die Beweislast zu Gunsten des Kunden umdrehen.
16
Betriebssysteme MalwareStudiengang Kartographie und Geomatik Dr. W. Jakob 31
Cybercrime - Scareware
Funktionsweise:Verunsicherung des Opfers als Grundlage für den Angriff.
