Date post: | 05-Apr-2015 |
Category: |
Documents |
Upload: | sibylle-koenig |
View: | 116 times |
Download: | 5 times |
Malware
Seminar Internettechnologie
Andreas Dinkel
Page 2
Gliederung
Was ist Malware?
Verschiedene Typen der Malware: Computerviren
Würmer
Trojanische Pferde
Spyware
Rootkits
I-Worm.LoveLetter Analyse des Quellcodes
Pseudocode
Schutzmaßnahmen
Praxis-Teil
Page 3
Was ist Malware?
Der Begriff Malware ist eine Abkürzung von "malicious software", d. h. böswillige Software.
Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und ggf. schädliche Funktionen auszuführen. Dieser Begriff bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann.
Malware wird von Fachleuten der Computersicherheitsbranche als Über-/Sammelbegriff verwendet, um die große Bandbreite an feindseliger, intrusiver und/oder unerwünschter Software oder Programmen zu beschreiben.
Page 4
Was ist Malware?
Juli – September 2009
PandaLabs
Page 5
Computerviren
Ein Virus ist ein Programm, das sich repliziert, indem es andere Programme infiziert, sodass diese eine Kopie des Virus enthalten.
Ein Virus ist ein Programm, dessen Hauptaufgabe die Reproduktion (Verbreitung) durch Infizierung ist! Ein Virus muss also nicht zwingend destruktiv sein.
Page 6
Würmer
primäres Ziel Reproduktion, wie bei Viren
andere Verbreitungsweise als bei Viren
Verbreitung finden über E-Mail Systeme,Schwachstellen von Betriebssystemen/Diensten statt
sind nicht auf ein Wirtsprogramm angewiesen
Page 7
Trojanische Pferde
Das primäre Ziel von Trojanern ist die versteckte Ausführung von bestimmten Funktionen im Auftrag eines Angreifers
haben immer eine versteckte Schadensroutine
Die Reproduktion spielt wenig bis kaum eine Rolle
tarnen sich für Benutzer als nützliche Programme/Funktionen
schwer erkennbar,weil keine massenweise Verbreitung
arbeiten sehr oft als Client-/Server Applikation, d.h. sie sind von einem entfernten Angreifer fern steuerbar (Backdoors, Rootkits)
Page 8
Trojanische Pferde
Funktionen:
– Ausspähen und Übermittlung von Benutzerdaten (Online-Dienste, Passwörter, Kreditkartennummern, Bankzugänge usw.)
– Aufzeichnung und Übermittlung von Tastaturanschlägen (Keylogger)
– Durchsuchen des Rechners und Übermittlung von Passwortdateien und Dokumenten
Page 9
Spyware
Erweiterung von Adware ( werbefinanzierten Software)
Funktion der Werbezusätze ist nicht immer nachvollziehbar
sammelt teilweise recht umfangreiche Daten des Benutzer
– Surfverhalten, Kreditkartennummern, Adressdaten usw.
Page 10
Rootkits
ist eine Sammlung von Softwarewerkzeugen
verhindern, das der Einbruch ins System bemerkt wird
Dem Angreifer ermöglichen, das System dauerhaft zu kontrollieren
Dem Angreifer ermöglicht weitere Systeme anzugreifen
keine Reproduktion und eigene Schadfunktion
Page 11
Rootkits
Fähigkeiten:
– Das Verbergen von Dateien, Prozessen, offene Ports, usw. vor den Benutzern des Systems
– Verändern der System-Logs, zum Beispiel um Anmeldungsvorgänge zu verstecken
– Verändern von Systemstatistiken um normalen Betrieb vorzutäuschen
– Eventuell aktive Abwehr von Sicherheitssoftware
Page 12
I-Worm.LoveLetter
4 Mai Jahr 2000
„Rund um die Welt“ in 1-2 Tagen
Schäden in Milliardenhöhe
ist ein Visual Basic Scriptvirus
Ausbreitung findet über Windows-Emailproramme statt (Outlook)
Mailprogramme die aktive Inhalte ausführen können oder dürfen
Quellcode ohne Probleme lesbar
in Oktober schon 92 Varianten
Page 13
I-Worm.LoveLetter
Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis
Page 14
Analyse des Quellcodessub main ()
Programmierer hat sich selbst verewigt
wenn Laufzeitfehler auftritt den Script weiter fortsetzten und nicht abbrechen
objektorientiert auf das ganze Funktionsspektrum vom Windows Scripting Host zugreifen
Page 15
Analyse des Quellcodessub main()
hier werden spezielle Verzeichnisse C:\WINDOWS, C:\WINDOWS\SYSTEM, C:\WINDOWS\TEMP in Erfahrung gebracht
Mit GetFile erfährt der Worm seinen eigenen Dateinamen, um ...
sich selbst ins Windows- und Windows-System- Verzeichnis zu kopieren
diese Dateien werden mit jedem Windows-Start ausgeführt
Page 16
Analyse des Quellcodessub regruns()
zwei „Autostart“ Möglichkeiten in Windows-Registry
aus der Registry wird der IE Standard-Download-Verzeichnis ausgelesen
kein Verzeichnis definiert wird eine angelegt
Page 17
Analyse des Quellcodessub regruns()
hier wird überprüft, ob der WIN-BUGFIX.exe – Trojaner
heruntergeladen und installiert worden ist
Page 18
Analyse des Quellcodessub regruns()
hier wird der Trojaner in die Registry eingetragen und die Startseiten von IE auf „blank“ gesetzt
Page 19
Analyse des Quellcodessub listadriv()
fso.Drives gibt die Anzahl der Laufwerke in dc zurück
für jedes gefundenes Laufwerk(lokale und Netzlaufwerke) wird mit subroutine forderlist() eine Verzeichnisliste angelegt
Page 20
Analyse des Quellcodessub infectfiles(folderspec)
fc gibt die Anzahl der Dateien in angegebenen Verzeichnis an
wenn die Dateierweiterung passt, wird die infiziert (überschrieben)
Infektion von Visual Basic Script-Dateien
Page 21
Analyse des Quellcodessub infectfiles(folderspec)
die angegebene Datei wird mit eigenen Code überschrieben
Infektion von JavaScripts, CascadingStyleSheets, Windows Scripting Host, oder anderen HTML-Dateien
kopiere den Namen der Datei (tolles_bild.jpg)
erstelle eine neue mit dem eigenen Code (tolles_bild.jpg.vbs)
lösche das Original
Page 22
Analyse des Quellcodessub infectfiles(folderspec)
alle Wirtsdateien werden zerstört, außer mp3 und mp2 von denen erstellt der Wurm eine Kopie
hier wird die mIRC Script-Datei geöffnet und verändert
Page 23
Analyse des Quellcodessub infectfiles(folderspec)
hier wird per mIRC eine infizierte HTM Datei verschickt
Page 24
Analyse des Quellcodessub infectfiles(folderspec)
Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis
Page 25
Analyse des Quellcodessub spreadtomail()
CreateObject(„Outlook.Application“) ist für die „Kommunikation“ mit dem Email-Programm zuständig. Funktioniert nur mit Outlook 97 und 2000 und nicht mit dem Express-Versionen
mapi.AdressLists.Count gibt die Anzahl der Kontakte im Outlook zurück
Page 26
Analyse des Quellcodessub spreadtomail()
wenn der Registry-Eintrag leer ist, der „Brief“ wurde noch nicht verschickt
hier wird der „Brief“ verfasst
Page 27
Analyse des Quellcodessub spreadtomail()
hier wird vermerkt das der Brief verschickt wurde
Page 28
Pseudocode
Page 29
Schutzmaßnahmen
Anti-Virus Programm, Firewall
Updates von Betriebssystemen, Anti-Virus Programmen, Webbrowser usw.
Vorsicht bei öffnen der Mails
Programme von Herstellerseiten benutzen
Nicht vertrauenswürdige Seiten meiden
Page 30
Quelle
Quarterly Report PandaLabs July-Semptember 2009
Analyse einiger typischen Computerviren, Nikolaus Rameis
Rootkits, Johannes plötner
http://www.pc-special.net/sicherheit-f192/malware-viren-wurmer-und-kein-ende-t28659.html
http://tugll.tugraz.at/07security/weblog/5435.html
http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html
Vielen Dank für Ihre Aufmerksamkeit!
Fragen?
Page 32
Praxis-Teil
DNS/ARP-Spoofing,MITM-Attacke
ms09-002 exploit (IE7)
– RemotecodeausführungTools
– ettercap & Metasploit Framework 3