Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle:

Veröffentlicht von:Charlotte Bieber Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle:"—  Präsentation transkript:

1 Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle: http://www.designerspiele.de

2 Sophie Stellmach & Ulrike Zenner Seite 2 Inhalt kurze Übersicht zu Trojanischen Pferden Erkennen und Beseitigen - softwaregesteuert - manuell - zentral spezielle Trojaner (Rootkits) Trojanische Pferde unter Linux Seite

3 Sophie Stellmach & Ulrike Zenner Seite 3 Was ist ein Trojanisches Pferd? „Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in einem System unbemerkt Schadsoftware (Malware) oder Ähnliches einschleusen.Zitat, http://de.wikipedia.org/

4 Sophie Stellmach & Ulrike Zenner Seite 4 Übersicht zu Trojanern eigentlich „Trojanisches Pferd“ meist im Hintergrund unerwünschte Aktionen, wie bspw.: -Ausspionieren von Benutzerdaten -Löschen wichtiger Dateien -totale Übernahme des Systems

5 Sophie Stellmach & Ulrike Zenner Seite 5 Übersicht zu Trojanern (2) keine aktive Weiterverbreitung - gezielte Einschleusung - vom Benutzer unbewusst selbst installiert (Shareware / Freeware, E- Mail-Anhänge...) viele verschiedene Varianten -Backdoor, Adware, Spyware, Rootkits, Key Logger, Dialer...

6 Sophie Stellmach & Ulrike Zenner Seite 6 Erkennen eines Trojaners Ausganssituation: Trojanisches Pferd befindet sich bereits auf dem PC Anmerkung: Es existiert keine 100%ig wirksame Erkennungsmethode gegen Trojaner!

7 Sophie Stellmach & Ulrike Zenner Seite 7 Schutzmechanismen Verstecken Polymorphismus Modifizierung des böswilligen Codes Erhaltung der Funktionalität Metamorphismus Modifizierung des böswilligen Codes Veränderung der Funktionalität Deaktivierung der Anti-Trojaner- Software

8 Sophie Stellmach & Ulrike Zenner Seite 8 1. Software-gesteuerte Suche 1. Trojaner-Scanner 2. Logging Mechanismen 3. Hashwert-Berechnung 4. SandBox-Technologie

9 Sophie Stellmach & Ulrike Zenner Seite 9 1.1. Trojaner - Scanner Trojaner hat eindeutige Signatur falls Trojaner entdeckt wird, analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion Update der Anti-Trojaner-Datenbank mit diesen Daten

10 Sophie Stellmach & Ulrike Zenner Seite 10 Einfaches Beispiel 1.Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank 2.also: Suche in spezieller Registry nach „Hey there :-)“ 3.Satz enthalten -> Computer mit X verseucht Annahme: Trojanisches Pferd X schreibt als Merkmal „Hey there :-)“ in Windows-Registry

11 Sophie Stellmach & Ulrike Zenner Seite 11 Problematik Kopie / technische Spezifikationen des Trojaners müssen vorhanden sein Viren relativ leicht aufspürbar - monatl. ca. 500–2000 neue Computerviren - kopieren sich selbst weiter -tausende Computer in kurzer Zeit infiziert -Resultat: „anormale Aktivitäten“ Trojanische Pferde: -bleiben meist unerkannt

12 Sophie Stellmach & Ulrike Zenner Seite 12 Beispiel: Ad-Aware

13 Sophie Stellmach & Ulrike Zenner Seite 13 1.2. Logging-Mechanismen Protokollierung von Systemmeldungen zum Erkennen von Abweichungen vom bekannten „Sollzustand“ des Systems Quelle: „Hacker Contest“, Markus Schumacher, 2003

14 Sophie Stellmach & Ulrike Zenner Seite 14 1.3. Hashwert-Berechnung vorab festgelegte Hash-Funktion Berechnung und Sicherung von „Modification Detection Code“ (MDC) Bildung einer Basis Überprüfung auf Manipulation -erneute Berechnung -Vergleich mit Basis -falls Übereinstimmung, dann keine Manipulation

15 Sophie Stellmach & Ulrike Zenner Seite 15 Beispiel: TripWire Quelle: http://www.tripwire.com/

16 Sophie Stellmach & Ulrike Zenner Seite 16 1.4. SandBox-Technologie Hauptmerkmal: Simulation und Früherkennung Transfer und Ausführung verdächtiger Dateien in virtuellem Computer Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten

17 Sophie Stellmach & Ulrike Zenner Seite 17 2. Manuelle Suche (Windows) Überprüfung -laufende Prozesse -Autostart -Win.ini, System.ini, autoexec.bat, Config.sys (Systemkonfiguration) -Winstart.bat Standard-Fall: Windows-Registrierungeinträge

18 Sophie Stellmach & Ulrike Zenner Seite 18 Win-Registry

19 Sophie Stellmach & Ulrike Zenner Seite 19 Vergleich mit Win-Registry 1.Sicherung der Regristrierungsdateien 2.leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien

20 Sophie Stellmach & Ulrike Zenner Seite 20 3. Zentrale Suche Attacken auf Netzwerke Intrusion Detection System

21 Sophie Stellmach & Ulrike Zenner Seite 21 Attacken auf Netzwerke Normalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

22 Sophie Stellmach & Ulrike Zenner Seite 22 Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> Distributed Denial of Service = DDoS Attacken auf Netzwerke (2) Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

23 Sophie Stellmach & Ulrike Zenner Seite 23 Intrusion Detection System vom Militär entwickelt Erkennen bekannter Attacken (Signaturen) Probleme in der Praxis: falsche Warnungen / Nichterkennung von Attacken Aufteilung in HIDS und NIDS

24 Sophie Stellmach & Ulrike Zenner Seite 24 Hostbasierte IDS (HIDS) scannt Systemdaten Erkennen und Loggen von Angriffen Vorteile: -viele Details über Angriff -umfassende Überwachung Nachteile: -DoS hebelt HIDS aus -hohe Lizenzkosten -Beendung von HIDS bei Systemabsturz

25 Sophie Stellmach & Ulrike Zenner Seite 25 Netzwerkbasierte IDS (NIDS) überwacht mit einem Sensor ein Teilnetzwerk Vorteile: – Erkennen von Angriffen, die Firewall umgehen – eigenständiges System -> kein Leistungsverlust Nachteile: -keine lückenlose Überwachung garantiert

26 Sophie Stellmach & Ulrike Zenner Seite 26 Sicherheitsstrategie 1. Gateway-Malware-Scanner, um eMails, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle) 2. Nutzung mehrerer Anti-Trojaner- Engines

27 Sophie Stellmach & Ulrike Zenner Seite 27 Spezielle Trojaner: Rootkits schlimmste Art von Trojanern verschaffen Angreifer volle Kontrolle über das befallene System können ihre eigene Existenz nahezu perfekt verschleiern beliebte Verstecke: -in DLLs (Dynamic Link Libraries) -Tarnung als Gerätetreiber

28 Sophie Stellmach & Ulrike Zenner Seite 28 Vorgehen gegen Rootkits handelsübliche Trojaner-Scanner versagen meist -nur effektiv, wenn Signatur des Trojaners vor dessen Installation bekannt -somit schon Verhinderung seiner Installation einziger Schutz ist also: ständiger Betrieb eines Trojaner- Scanners mit stets aktueller Datenbank

29 Sophie Stellmach & Ulrike Zenner Seite 29 Linux - Nutzerrechte Linux: Multiuser-System mit unterschiedlichen Nutzerrechten Root=Superuser (Administratorrechte) jeder Prozess durch Nutzerrechte eingeschränkt normale User können System nicht beeinträchtigen

30 Sophie Stellmach & Ulrike Zenner Seite 30 Kritische Systemverzeichnisse ● /bin und /sbin -> elementare Systemprogramme, vlg. c:\windows\system ● /usr -> Anwenderprogramme ● /etc -> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry ● alle ohne root-Zugang schreibgeschützt

31 Sophie Stellmach & Ulrike Zenner Seite 31 Zusammenfassung kurze Erläuterung zu Trojanischen Pferden Schutzmechanismen Erkennen und Beseitigen mit Hilfe von Software manuelle und zentrale Suche Rootkits Linux

32 Sophie Stellmach & Ulrike Zenner Seite 32 Quellenangaben (1) Internet-Links http://www.univie.ac.at/comment/arch/04-1/041_10.html http://www.pc-special.de/?idart=2060 http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 http://www.emsisoft.de/de/kb/articles/tec040105 http://source-center.de/forum/archive/index.php/t-1471.html http://www.internetfallen.de/Hacker- Cracker/Trojaner/Trojaner_Entfernen/trojaner_entfernen.html http://www.ap.univie.ac.at/security/opsys_windows_general_r egistry_keys.html http://www.gfisoftware.de/de/whitepapers/network- protection-against-trojans.pdf

33 Sophie Stellmach & Ulrike Zenner Seite 33 Quellenangaben (2) Internet-Links http://www.designerspiele.de/ReneVaplus/Looser/Trojaner/tr ojaner.htm http://www.schoe-berlin.de/Security/DDoS- Attacken/body_ddos-attacken.html http://www.itseccity.de/?url=/content/produkte/antivirus/040 808_pro_ant_normans.html http://www.vhm.haitec.de/konferenz/1999/linux- malware/welcome.htm Bücher „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 „Malware. Fighting Malicious Code.“, E. Skoudis, 2003

34 Sophie Stellmach & Ulrike Zenner Seite 34 Das war‘s…

Herunterladen ppt "Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle:"

Ähnliche Präsentationen

Internetsicherheit Wie kann ich mich sicher im Internet bewegen? Firewall Anti- Viren Schutz Spyware Schutz Downloads.

Internetsicherheit Wie kann ich mich sicher im Internet bewegen? Firewall Anti- Viren Schutz Spyware Schutz Downloads.
Adware.

Adware.
Von Florian Wirths und Fabian Janik

Von Florian Wirths und Fabian Janik
Was sind Trojaner?? - Kein Virus !! - Dienen zum Überwachen und Spionieren - Verstecken sich in nützlichen Programmen - Verstecken sich z.B. in Registry.

Was sind Trojaner?? - Kein Virus !! - Dienen zum Überwachen und Spionieren - Verstecken sich in nützlichen Programmen - Verstecken sich z.B. in Registry.
Sicherheit bei Windows XP Professional Eine Präsentation von: Henning Schur, Pascal Runk.

Sicherheit bei Windows XP Professional Eine Präsentation von: Henning Schur, Pascal Runk.
Firewalls.

Firewalls.
Von Alina Hanne, Annika Kremser, Farina Heinen

Von Alina Hanne, Annika Kremser, Farina Heinen
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Viren sind keine selbständig ablaufenden Programme. Es bedingt eine Aktion des Benutzers, z.B. das Öffnen eines Attachments in einem eMail. Computerviren.

Viren sind keine selbständig ablaufenden Programme. Es bedingt eine Aktion des Benutzers, z.B. das Öffnen eines Attachments in einem . Computerviren.
Was ist eigentlich ein Computervirus?

Was ist eigentlich ein Computervirus?
Gefährdung durch Viren

Gefährdung durch Viren
Computerkriminalität, Datenschutz, Datensicherheit

Computerkriminalität, Datenschutz, Datensicherheit
Schadsoftware - Malware

Schadsoftware - Malware
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
Sicher durchs Internet

Sicher durchs Internet
Malware Seminar Internettechnologie Andreas Dinkel 1.

Malware Seminar Internettechnologie Andreas Dinkel 1.
Trojanische Pferde (Trojaner)

Trojanische Pferde (Trojaner)
Viren Würmer und Trojaner

Viren Würmer und Trojaner
Intrusion Detection Systems

Intrusion Detection Systems

Ähnliche Präsentationen

Google-Anzeigen