Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle:
Sophie Stellmach & Ulrike Zenner Seite 2 Inhalt kurze Übersicht zu Trojanischen Pferden Erkennen und Beseitigen - softwaregesteuert - manuell - zentral spezielle Trojaner (Rootkits) Trojanische Pferde unter Linux Seite
Sophie Stellmach & Ulrike Zenner Seite 3 Was ist ein Trojanisches Pferd? „Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in einem System unbemerkt Schadsoftware (Malware) oder Ähnliches einschleusen.Zitat,
Sophie Stellmach & Ulrike Zenner Seite 4 Übersicht zu Trojanern eigentlich „Trojanisches Pferd“ meist im Hintergrund unerwünschte Aktionen, wie bspw.: -Ausspionieren von Benutzerdaten -Löschen wichtiger Dateien -totale Übernahme des Systems
Sophie Stellmach & Ulrike Zenner Seite 5 Übersicht zu Trojanern (2) keine aktive Weiterverbreitung - gezielte Einschleusung - vom Benutzer unbewusst selbst installiert (Shareware / Freeware, E- Mail-Anhänge...) viele verschiedene Varianten -Backdoor, Adware, Spyware, Rootkits, Key Logger, Dialer...
Sophie Stellmach & Ulrike Zenner Seite 6 Erkennen eines Trojaners Ausganssituation: Trojanisches Pferd befindet sich bereits auf dem PC Anmerkung: Es existiert keine 100%ig wirksame Erkennungsmethode gegen Trojaner!
Sophie Stellmach & Ulrike Zenner Seite 7 Schutzmechanismen Verstecken Polymorphismus Modifizierung des böswilligen Codes Erhaltung der Funktionalität Metamorphismus Modifizierung des böswilligen Codes Veränderung der Funktionalität Deaktivierung der Anti-Trojaner- Software
Sophie Stellmach & Ulrike Zenner Seite 8 1. Software-gesteuerte Suche 1. Trojaner-Scanner 2. Logging Mechanismen 3. Hashwert-Berechnung 4. SandBox-Technologie
Sophie Stellmach & Ulrike Zenner Seite Trojaner - Scanner Trojaner hat eindeutige Signatur falls Trojaner entdeckt wird, analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion Update der Anti-Trojaner-Datenbank mit diesen Daten
Sophie Stellmach & Ulrike Zenner Seite 10 Einfaches Beispiel 1.Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank 2.also: Suche in spezieller Registry nach „Hey there :-)“ 3.Satz enthalten -> Computer mit X verseucht Annahme: Trojanisches Pferd X schreibt als Merkmal „Hey there :-)“ in Windows-Registry
Sophie Stellmach & Ulrike Zenner Seite 11 Problematik Kopie / technische Spezifikationen des Trojaners müssen vorhanden sein Viren relativ leicht aufspürbar - monatl. ca. 500–2000 neue Computerviren - kopieren sich selbst weiter -tausende Computer in kurzer Zeit infiziert -Resultat: „anormale Aktivitäten“ Trojanische Pferde: -bleiben meist unerkannt
Sophie Stellmach & Ulrike Zenner Seite 12 Beispiel: Ad-Aware
Sophie Stellmach & Ulrike Zenner Seite Logging-Mechanismen Protokollierung von Systemmeldungen zum Erkennen von Abweichungen vom bekannten „Sollzustand“ des Systems Quelle: „Hacker Contest“, Markus Schumacher, 2003
Sophie Stellmach & Ulrike Zenner Seite Hashwert-Berechnung vorab festgelegte Hash-Funktion Berechnung und Sicherung von „Modification Detection Code“ (MDC) Bildung einer Basis Überprüfung auf Manipulation -erneute Berechnung -Vergleich mit Basis -falls Übereinstimmung, dann keine Manipulation
Sophie Stellmach & Ulrike Zenner Seite 15 Beispiel: TripWire Quelle:
Sophie Stellmach & Ulrike Zenner Seite SandBox-Technologie Hauptmerkmal: Simulation und Früherkennung Transfer und Ausführung verdächtiger Dateien in virtuellem Computer Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten
Sophie Stellmach & Ulrike Zenner Seite Manuelle Suche (Windows) Überprüfung -laufende Prozesse -Autostart -Win.ini, System.ini, autoexec.bat, Config.sys (Systemkonfiguration) -Winstart.bat Standard-Fall: Windows-Registrierungeinträge
Sophie Stellmach & Ulrike Zenner Seite 18 Win-Registry
Sophie Stellmach & Ulrike Zenner Seite 19 Vergleich mit Win-Registry 1.Sicherung der Regristrierungsdateien 2.leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien
Sophie Stellmach & Ulrike Zenner Seite Zentrale Suche Attacken auf Netzwerke Intrusion Detection System
Sophie Stellmach & Ulrike Zenner Seite 21 Attacken auf Netzwerke Normalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf Quelle:
Sophie Stellmach & Ulrike Zenner Seite 22 Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> Distributed Denial of Service = DDoS Attacken auf Netzwerke (2) Quelle:
Sophie Stellmach & Ulrike Zenner Seite 23 Intrusion Detection System vom Militär entwickelt Erkennen bekannter Attacken (Signaturen) Probleme in der Praxis: falsche Warnungen / Nichterkennung von Attacken Aufteilung in HIDS und NIDS
Sophie Stellmach & Ulrike Zenner Seite 24 Hostbasierte IDS (HIDS) scannt Systemdaten Erkennen und Loggen von Angriffen Vorteile: -viele Details über Angriff -umfassende Überwachung Nachteile: -DoS hebelt HIDS aus -hohe Lizenzkosten -Beendung von HIDS bei Systemabsturz
Sophie Stellmach & Ulrike Zenner Seite 25 Netzwerkbasierte IDS (NIDS) überwacht mit einem Sensor ein Teilnetzwerk Vorteile: – Erkennen von Angriffen, die Firewall umgehen – eigenständiges System -> kein Leistungsverlust Nachteile: -keine lückenlose Überwachung garantiert
Sophie Stellmach & Ulrike Zenner Seite 26 Sicherheitsstrategie 1. Gateway-Malware-Scanner, um s, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle) 2. Nutzung mehrerer Anti-Trojaner- Engines
Sophie Stellmach & Ulrike Zenner Seite 27 Spezielle Trojaner: Rootkits schlimmste Art von Trojanern verschaffen Angreifer volle Kontrolle über das befallene System können ihre eigene Existenz nahezu perfekt verschleiern beliebte Verstecke: -in DLLs (Dynamic Link Libraries) -Tarnung als Gerätetreiber
Sophie Stellmach & Ulrike Zenner Seite 28 Vorgehen gegen Rootkits handelsübliche Trojaner-Scanner versagen meist -nur effektiv, wenn Signatur des Trojaners vor dessen Installation bekannt -somit schon Verhinderung seiner Installation einziger Schutz ist also: ständiger Betrieb eines Trojaner- Scanners mit stets aktueller Datenbank
Sophie Stellmach & Ulrike Zenner Seite 29 Linux - Nutzerrechte Linux: Multiuser-System mit unterschiedlichen Nutzerrechten Root=Superuser (Administratorrechte) jeder Prozess durch Nutzerrechte eingeschränkt normale User können System nicht beeinträchtigen
Sophie Stellmach & Ulrike Zenner Seite 30 Kritische Systemverzeichnisse ● /bin und /sbin -> elementare Systemprogramme, vlg. c:\windows\system ● /usr -> Anwenderprogramme ● /etc -> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry ● alle ohne root-Zugang schreibgeschützt
Sophie Stellmach & Ulrike Zenner Seite 31 Zusammenfassung kurze Erläuterung zu Trojanischen Pferden Schutzmechanismen Erkennen und Beseitigen mit Hilfe von Software manuelle und zentrale Suche Rootkits Linux
Sophie Stellmach & Ulrike Zenner Seite 32 Quellenangaben (1) Internet-Links Cracker/Trojaner/Trojaner_Entfernen/trojaner_entfernen.html egistry_keys.html protection-against-trojans.pdf
Sophie Stellmach & Ulrike Zenner Seite 33 Quellenangaben (2) Internet-Links ojaner.htm Attacken/body_ddos-attacken.html 808_pro_ant_normans.html malware/welcome.htm Bücher „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 „Malware. Fighting Malicious Code.“, E. Skoudis, 2003
Sophie Stellmach & Ulrike Zenner Seite 34 Das war‘s…