Trojanische Pferde

1. Trojanische Pferde Erkennen und Beseitigen Proseminar IT-Security - WS 2004 / 2005 Sophie Stellmach, Ulrike Zenner Quelle: http://www.designerspiele.de

2. Inhalt • kurze Übersicht zu Trojanischen Pferden • Erkennen und Beseitigen • softwaregesteuert • manuell • zentral • spezielle Trojaner (Rootkits) • Trojanische Pferde unter Linux Seite

3. Was ist ein Trojanisches Pferd? „Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in einem System unbemerkt Schadsoftware (Malware) oder Ähnliches einschleusen.Zitat, http://de.wikipedia.org/

4. Übersicht zu Trojanern • eigentlich „Trojanisches Pferd“ • meist im Hintergrund • unerwünschte Aktionen, wie bspw.: • Ausspionieren von Benutzerdaten • Löschen wichtiger Dateien • totale Übernahme des Systems

5. Übersicht zu Trojanern (2) • keine aktive Weiterverbreitung • gezielte Einschleusung • vom Benutzer unbewusst selbst installiert (Shareware / Freeware, E-Mail-Anhänge...) • viele verschiedene Varianten • Backdoor, Adware, Spyware, Rootkits, Key Logger, Dialer...

6. Erkennen eines Trojaners Ausganssituation: Trojanisches Pferd befindet sich bereits auf dem PC Anmerkung: Es existiert keine 100%ig wirksame Erkennungsmethode gegen Trojaner!

7. Verstecken Polymorphismus Modifizierung des böswilligen Codes Erhaltung der Funktionalität Metamorphismus Modifizierung des böswilligen Codes Veränderung der Funktionalität Schutzmechanismen Deaktivierung der Anti-Trojaner-Software

8. 1. Software-gesteuerte Suche 1. Trojaner-Scanner 2. Logging Mechanismen 3. Hashwert-Berechnung 4. SandBox-Technologie

9. 1.1. Trojaner - Scanner • Trojaner hat eindeutige Signatur • falls Trojaner entdeckt wird, analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion • Update der Anti-Trojaner-Datenbank mit diesen Daten

10. Einfaches Beispiel Annahme: Trojanisches Pferd X schreibt als Merkmal „Hey there :-)“ in Windows-Registry Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank also: Suche in spezieller Registry nach „Hey there :-)“ Satz enthalten -> Computer mit X verseucht

11. Problematik Kopie / technische Spezifikationen des Trojaners müssen vorhanden sein Viren relativ leicht aufspürbar - monatl. ca. 500–2000 neue Computerviren - kopieren sich selbst weiter - tausende Computer in kurzer Zeit infiziert - Resultat: „anormale Aktivitäten“ Trojanische Pferde: - bleiben meist unerkannt

12. Beispiel: Ad-Aware

13. 1.2. Logging-Mechanismen • Protokollierung von Systemmeldungen • zum Erkennen von Abweichungen vom bekannten „Sollzustand“ des Systems Quelle: „Hacker Contest“, Markus Schumacher, 2003

14. 1.3. Hashwert-Berechnung • vorab festgelegte Hash-Funktion • Berechnung und Sicherung von „Modification Detection Code“ (MDC) • Bildung einer Basis • Überprüfung auf Manipulation • erneute Berechnung • Vergleich mit Basis • falls Übereinstimmung, dann keine Manipulation

15. Beispiel: TripWire Quelle: http://www.tripwire.com/

16. 1.4. SandBox-Technologie • Hauptmerkmal: Simulation und Früherkennung • Transfer und Ausführung verdächtiger Dateien in virtuellem Computer • Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten

17. 2. Manuelle Suche (Windows) • Überprüfung • laufende Prozesse • Autostart • Win.ini, System.ini, autoexec.bat, Config.sys (Systemkonfiguration) • Winstart.bat • Standard-Fall: Windows-Registrierungeinträge

18. Win-Registry

19. Vergleich mit Win-Registry • Sicherung der Regristrierungsdateien • leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien

20. 3. Zentrale Suche • Attacken auf Netzwerke • Intrusion Detection System

21. Attacken auf Netzwerke Normalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

22. Attacken auf Netzwerke (2) Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> Distributed Denial of Service = DDoS Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

23. Intrusion Detection System • vom Militär entwickelt • Erkennen bekannter Attacken (Signaturen) • Probleme in der Praxis: falsche Warnungen / Nichterkennung von Attacken • Aufteilung in HIDS und NIDS

24. Hostbasierte IDS (HIDS) • scannt Systemdaten • Erkennen und Loggen von Angriffen • Vorteile: • viele Details über Angriff • umfassende Überwachung • Nachteile: • DoS hebelt HIDS aus • hohe Lizenzkosten • Beendung von HIDS bei Systemabsturz

25. Netzwerkbasierte IDS (NIDS) • überwacht mit einem Sensor ein Teilnetzwerk • Vorteile: • Erkennen von Angriffen, die Firewall umgehen • eigenständiges System -> kein Leistungsverlust • Nachteile: • keine lückenlose Überwachung garantiert

26. Sicherheitsstrategie • Gateway-Malware-Scanner, um eMails, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle) • Nutzung mehrerer Anti-Trojaner-Engines

27. Spezielle Trojaner: Rootkits • schlimmste Art von Trojanern • verschaffen Angreifer volle Kontrolle über das befallene System • können ihre eigene Existenz nahezu perfekt verschleiern • beliebte Verstecke: • in DLLs (Dynamic Link Libraries) • Tarnung als Gerätetreiber

28. Vorgehen gegen Rootkits • handelsübliche Trojaner-Scanner versagen meist • nur effektiv, wenn Signatur des Trojaners vor dessen Installation bekannt • somit schon Verhinderung seiner Installation • einziger Schutz ist also: ständiger Betrieb eines Trojaner-Scanners mit stets aktueller Datenbank

29. Linux - Nutzerrechte • Linux: Multiuser-System mit unterschiedlichen Nutzerrechten • Root=Superuser (Administratorrechte) • jeder Prozess durch Nutzerrechte eingeschränkt • normale User können System nicht beeinträchtigen

30. Kritische Systemverzeichnisse • /bin und /sbin -> elementare Systemprogramme, vlg. c:\windows\system • /usr -> Anwenderprogramme • /etc -> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry • alle ohne root-Zugang schreibgeschützt

31. Zusammenfassung • kurze Erläuterung zu Trojanischen Pferden • Schutzmechanismen • Erkennen und Beseitigen mit Hilfe von Software • manuelle und zentrale Suche • Rootkits • Linux

32. Quellenangaben (1) Internet-Links • http://www.univie.ac.at/comment/arch/04-1/041_10.html • http://www.pc-special.de/?idart=2060 • http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 • http://www.emsisoft.de/de/kb/articles/tec040105 • http://source-center.de/forum/archive/index.php/t-1471.html • http://www.internetfallen.de/Hacker-Cracker/Trojaner/Trojaner_Entfernen/trojaner_entfernen.html • http://www.ap.univie.ac.at/security/opsys_windows_general_registry_keys.html • http://www.gfisoftware.de/de/whitepapers/network-protection-against-trojans.pdf

33. Quellenangaben (2) Internet-Links • http://www.designerspiele.de/ReneVaplus/Looser/Trojaner/trojaner.htm • http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html • http://www.itseccity.de/?url=/content/produkte/antivirus/040808_pro_ant_normans.html • http://www.vhm.haitec.de/konferenz/1999/linux-malware/welcome.htm Bücher • „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 • „Malware. Fighting Malicious Code.“, E. Skoudis, 2003

34. Das war‘s…