Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security -...

Trojanische Pferde

Erkennen und Beseitigen

Sophie Stellmach,Ulrike Zenner

Proseminar IT-Security - WS 2004 / 2005

Quelle: http://www.designerspiele.de

Sophie Stellmach & Ulrike Zenner

Seite 2

Inhalt

• kurze Übersicht zu Trojanischen Pferden

• Erkennen und Beseitigen - softwaregesteuert- manuell- zentral

• spezielle Trojaner (Rootkits)• Trojanische Pferde unter LinuxSeite

Seite 3

Was ist ein Trojanisches Pferd?

„Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in

einem System unbemerkt Schadsoftware (Malware) oder Ähnliches

einschleusen.Zitat,

http://de.wikipedia.org/

Seite 4

Übersicht zu Trojanern

• eigentlich „Trojanisches Pferd“• meist im Hintergrund• unerwünschte Aktionen, wie bspw.:

- Ausspionieren von Benutzerdaten- Löschen wichtiger Dateien- totale Übernahme des Systems

Seite 5

Übersicht zu Trojanern (2)• keine aktive Weiterverbreitung

- gezielte Einschleusung - vom Benutzer unbewusst selbst

installiert (Shareware / Freeware, E-Mail-Anhänge...)

• viele verschiedene Varianten- Backdoor, Adware, Spyware, Rootkits,

Key Logger, Dialer...

Seite 6

Erkennen eines Trojaners

Ausganssituation: Trojanisches Pferd befindet sich

bereits auf dem PC

Anmerkung:Es existiert keine 100%ig

wirksame Erkennungsmethode gegen Trojaner!

Seite 7

SchutzmechanismenVersteckenPolymorphismus

•Modifizierung des böswilligen Codes•Erhaltung der Funktionalität

Metamorphismus•Modifizierung des böswilligen Codes •Veränderung der Funktionalität

Deaktivierung der Anti-Trojaner-Software

Seite 8

1. Software-gesteuerte Suche

1. Trojaner-Scanner2. Logging Mechanismen3. Hashwert-Berechnung4. SandBox-Technologie

Seite 9

1.1. Trojaner - Scanner

• Trojaner hat eindeutige Signatur• falls Trojaner entdeckt wird,

analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion

• Update der Anti-Trojaner-Datenbank mit diesen Daten

Seite 10

Einfaches Beispiel

1. Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank

2. also: Suche in spezieller Registry nach „Hey there :-)“

3. Satz enthalten -> Computer mit X verseucht

Annahme: Trojanisches Pferd X schreibt als

Merkmal „Hey there :-)“ in Windows-Registry

Seite 11

ProblematikKopie / technische

Spezifikationen des Trojaners müssen vorhanden sein

Viren relativ leicht aufspürbar- monatl. ca. 500–2000 neue Computerviren- kopieren sich selbst weiter- tausende Computer in kurzer Zeit infiziert- Resultat: „anormale Aktivitäten“

Trojanische Pferde: - bleiben meist unerkannt

Seite 12

Beispiel: Ad-Aware

Seite 13

1.2. Logging-Mechanismen

• Protokollierung von Systemmeldungen• zum Erkennen von Abweichungen vom

bekannten „Sollzustand“ des Systems

Quelle: „Hacker Contest“, Markus Schumacher, 2003

Seite 14

1.3. Hashwert-Berechnung vorab festgelegte Hash-Funktion Berechnung und Sicherung von

„Modification Detection Code“ (MDC) Bildung einer Basis

Überprüfung auf Manipulation- erneute Berechnung- Vergleich mit Basis- falls Übereinstimmung, dann keine

Manipulation

Seite 15

Beispiel: TripWire

Quelle: http://www.tripwire.com/

Seite 16

1.4. SandBox-Technologie

• Hauptmerkmal: Simulation und Früherkennung

• Transfer und Ausführung verdächtiger Dateien in virtuellem Computer

• Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten

Seite 17

2. Manuelle Suche (Windows)

• Überprüfung - laufende Prozesse- Autostart- Win.ini, System.ini, autoexec.bat, Config.sys

(Systemkonfiguration)- Winstart.bat

• Standard-Fall: Windows-Registrierungeinträge

Seite 18

Win-Registry

Seite 19

Vergleich mit Win-Registry

1. Sicherung der Regristrierungsdateien

2. leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien

Seite 20

3. Zentrale Suche

• Attacken auf Netzwerke• Intrusion Detection System

Seite 21

Attacken auf NetzwerkeNormalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf

Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

Seite 22

Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> DistributedDenial ofService = DDoS

Attacken auf Netzwerke (2)

Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html

Seite 23

Intrusion Detection System

• vom Militär entwickelt • Erkennen bekannter Attacken

(Signaturen)• Probleme in der Praxis:

falsche Warnungen / Nichterkennung von Attacken

• Aufteilung in HIDS und NIDS

Seite 24

Hostbasierte IDS (HIDS)• scannt Systemdaten• Erkennen und Loggen von Angriffen• Vorteile:

- viele Details über Angriff- umfassende Überwachung

• Nachteile: - DoS hebelt HIDS aus- hohe Lizenzkosten- Beendung von HIDS bei Systemabsturz

Seite 25

Netzwerkbasierte IDS (NIDS) überwacht mit einem Sensor ein

Teilnetzwerk Vorteile:

– Erkennen von Angriffen, die Firewall umgehen

– eigenständiges System -> kein Leistungsverlust

Nachteile: - keine lückenlose Überwachung

garantiert

Seite 26

Sicherheitsstrategie

1. Gateway-Malware-Scanner, um eMails, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle)

2. Nutzung mehrerer Anti-Trojaner-Engines

Seite 27

Spezielle Trojaner: Rootkits

schlimmste Art von Trojanern verschaffen Angreifer volle Kontrolle

über das befallene System können ihre eigene Existenz nahezu

perfekt verschleiern beliebte Verstecke:

- in DLLs (Dynamic Link Libraries)- Tarnung als Gerätetreiber

Seite 28

Vorgehen gegen Rootkits• handelsübliche Trojaner-Scanner

versagen meist- nur effektiv, wenn Signatur des Trojaners

vor dessen Installation bekannt- somit schon Verhinderung seiner

Installation • einziger Schutz ist also:

ständiger Betrieb eines Trojaner-Scanners mit stets aktueller Datenbank

Seite 29

Linux - Nutzerrechte

• Linux: Multiuser-System mit unterschiedlichen Nutzerrechten

• Root=Superuser (Administratorrechte)• jeder Prozess durch Nutzerrechte

eingeschränkt• normale User können System nicht

beeinträchtigen

Seite 30

Kritische Systemverzeichnisse

● /bin und /sbin -> elementare Systemprogramme,

vlg. c:\windows\system● /usr

-> Anwenderprogramme● /etc

-> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry

● alle ohne root-Zugang schreibgeschützt

Seite 31

Zusammenfassung

• kurze Erläuterung zu Trojanischen Pferden

• Schutzmechanismen• Erkennen und Beseitigen mit Hilfe

von Software• manuelle und zentrale Suche• Rootkits• Linux

Seite 32

Quellenangaben (1)

Internet-Links• http://www.univie.ac.at/comment/arch/04-1/041_10.html• http://www.pc-special.de/?idart=2060• http://de.wikipedia.org/wiki/Trojaner_%28Computer%29• http://www.emsisoft.de/de/kb/articles/tec040105 • http://source-center.de/forum/archive/index.php/t-1471.html• http://www.internetfallen.de/Hacker-Cracker/Trojaner/

Trojaner_Entfernen/trojaner_entfernen.html• http://www.ap.univie.ac.at/security/

opsys_windows_general_registry_keys.html• http://www.gfisoftware.de/de/whitepapers/network-protection-

against-trojans.pdf

Seite 33

Quellenangaben (2)Internet-Links• http://www.designerspiele.de/ReneVaplus/Looser/Trojaner/

trojaner.htm• http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-

attacken.html• http://www.itseccity.de/?url=/content/produkte/antivirus/

040808_pro_ant_normans.html• http://www.vhm.haitec.de/konferenz/1999/linux-malware/

welcome.htm

Bücher „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 „Malware. Fighting Malicious Code.“, E. Skoudis, 2003

Seite 34

Das war‘s…

Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security -...

Documents

Submetering solutions – made by ZENNER · Wenn Sie als Messdienstleister erfolgreich am Markt agieren wollen, finden Sie bei ZENNER smarte, passgenaue Lösungen. Alles, was Messdienstleister

EnergieTechnik - Zenner€¦ · EnergieTechnik Unwissenheit schützt nicht vor Strafe Die Verwendung ungeeichter Wasser- und Wärmezähler ist verboten. Jeder weiß, dass die Wurstwaage

MARC BRANDSTETTER Das Trojanische Pferd ist gesatteltthorsten-polleit.com/wp/wp-content/uploads/2014/12/Seite10JF27-12... · Bruno Bandulet, Wilhelm Hankel, Bernd-Thomas Ramb, Karl

Computerviren Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies, 0190-Dialer

SAP145163 ZRI PK GSM multilog DE 140331 - Zenner · PDF fileEnergieTechnik GSM multilog GSM-Datenlogger Batteriebetriebener Datenlogger mit integriertem GSM-Modem

Betriebs- und Wartungsanleitung für Zenner ... · Zenner Ventilatoren GmbH Freiberger Straße 41b D 09526 Olbernhau Tel: 0049 37360-770 0 Fax: 0049 37360-770 77 Email: info@zenner-ventilatoren.de

Hauswasserzähler - Zenner · Dauerdurchfluss Q 3 m³/h 2,5 2,5 2,5 2,5 2,5 4 4 Entspricht Nenndurch-fluss (EWG) Q n m³/h 1,5 1,5 1,5 1,5 1,5 2,5 2,5 Erreichbarer Messbereich Q 3/Q

Homer, der trojanische Krieg und Heinrich Schliemann

DIE TROJANISCHE HERKUNFT DER FRANKEN · alter Volkssage 1), sondern eine zwar auf Fehlschlüssen be ruhende, aber doch an echtes Sagengut anknüpfende, sinnvolle geschichtliche Konstruktion

Rootkits Forensik UniPotsdam2005 - dolle.net · Wilhelm Dolle, interActive Systems GmbH 2 Agenda Bedrohungssituation im Überblick Trojanische Pferde und Rootkits Grundregeln der

Großwasserzähler - Zenner · PDF fileBewegung der Turbine kann ohne Umlenkung direkt in das Trockenläufer-zählwerk übertragen werden. Der Vorteil ist ein verbessertes Messverhal

· Ich bin Absolvent Name: Thomas Stellmach Heimat: Kassel und Straubing Beruf: Trickfilm-Regisseur, Pro- duzent, Oscar-Preisträger Familienstand: ledig

ZENNER IoT Gateway · ebenfalls über das CLS Center. Die Integration der Mess-daten in die MDM-Systeme der externen Marktteilnehm-er erfolgt als Datenweiterleitung im COSEM-Format

Viren, Trojanische Pferde & Denial of Service Attacken Matthias Neeland Björn Mahn Holger Kaßner

Die Trojanische Königstochter CASSANDRA Verfasst von Lena Beese und Tamara Solf

Roman Zenner / Vinai Kopp / Claus Nortmann / Sebastian ... · Roman Zenner / Vinai Kopp / Claus Nortmann / Sebastian Heuer / Dimitri Gatowski / Daniel Brylla, Magento - Das Handbuch

HFB 01268 EPUB - brainGuide...2.1 Trojanisches Marketing I – Mit trojanischen Aktivitäten in die Bestsellerlisten 17 2.2 Trojanisches Marketing – Man spricht darüber 21 3 Trojanische

WASSER WISSEN - Zenner...nung, z. B. Tiefbau, Garten- und Landschaftsbau, Fried- hcer i l lanha cst t , edf whr öf i Dränbau etc. Anwendung: In vielen Bereichen der Drä - nung,

CETA und TTIP das trojanische Pferd des Neoliberalismus...TTIP = Transatlantic Trade and Investment Partnership EU-USA; Handels- und Investitions - Partnerschaft CETA = Comprehensive

Homer, der trojanische Krieg und Heinrich Schliemann Ergebnisse des Methodentags vom 9.-11.01.2002