Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle:

Trojanische Pferde

Erkennen und Beseitigen

Sophie Stellmach,Ulrike Zenner

Proseminar IT-Security - WS 2004 / 2005

Quelle: http://www.designerspiele.de

Sophie Stellmach & Ulrike Zenner

Seite 2

Inhalt

• kurze Übersicht zu Trojanischen Pferden

• Erkennen und Beseitigen - softwaregesteuert- manuell- zentral

• spezielle Trojaner (Rootkits)• Trojanische Pferde unter LinuxSeite


Seite 3

Was ist ein Trojanisches Pferd?

„Als Trojanisches Pferd bezeichnet man in der Computersprache Programme im weitesten Sinne, die etwas anderes tun, als sie vorgeben, die beispielsweise in

einem System unbemerkt Schadsoftware (Malware) oder Ähnliches

einschleusen.Zitat,

http://de.wikipedia.org/


Seite 4

Übersicht zu Trojanern

• eigentlich „Trojanisches Pferd“• meist im Hintergrund• unerwünschte Aktionen, wie bspw.:

- Ausspionieren von Benutzerdaten- Löschen wichtiger Dateien- totale Übernahme des Systems


Seite 5

Übersicht zu Trojanern (2)• keine aktive Weiterverbreitung

- gezielte Einschleusung - vom Benutzer unbewusst selbst

installiert (Shareware / Freeware, E-Mail-Anhänge...)

• viele verschiedene Varianten- Backdoor, Adware, Spyware, Rootkits,

Key Logger, Dialer...


Seite 6

Erkennen eines Trojaners

Ausganssituation: Trojanisches Pferd befindet sich

bereits auf dem PC

Anmerkung:Es existiert keine 100%ig

wirksame Erkennungsmethode gegen Trojaner!


Seite 7

SchutzmechanismenVersteckenPolymorphismus

•Modifizierung des böswilligen Codes•Erhaltung der Funktionalität

Metamorphismus•Modifizierung des böswilligen Codes •Veränderung der Funktionalität

Deaktivierung der Anti-Trojaner-Software


Seite 8

1. Software-gesteuerte Suche

1. Trojaner-Scanner2. Logging Mechanismen3. Hashwert-Berechnung4. SandBox-Technologie


Seite 9

1.1. Trojaner - Scanner

• Trojaner hat eindeutige Signatur• falls Trojaner entdeckt wird,

analysiert Anti-Trojaner-Industrie dessen Struktur/Funktion

• Update der Anti-Trojaner-Datenbank mit diesen Daten


Seite 10

Einfaches Beispiel

1. Aufnahme dieser Eigenschaft in Anti-Trojaner-Datenbank

2. also: Suche in spezieller Registry nach „Hey there :-)“

3. Satz enthalten -> Computer mit X verseucht

Annahme: Trojanisches Pferd X schreibt als

Merkmal „Hey there :-)“ in Windows-Registry


Seite 11

ProblematikKopie / technische

Spezifikationen des Trojaners müssen vorhanden sein

Viren relativ leicht aufspürbar- monatl. ca. 500–2000 neue Computerviren- kopieren sich selbst weiter- tausende Computer in kurzer Zeit infiziert- Resultat: „anormale Aktivitäten“

Trojanische Pferde: - bleiben meist unerkannt


Seite 12

Beispiel: Ad-Aware


Seite 13

1.2. Logging-Mechanismen

• Protokollierung von Systemmeldungen• zum Erkennen von Abweichungen vom

bekannten „Sollzustand“ des Systems

Quelle: „Hacker Contest“, Markus Schumacher, 2003


Seite 14

1.3. Hashwert-Berechnung vorab festgelegte Hash-Funktion Berechnung und Sicherung von

„Modification Detection Code“ (MDC) Bildung einer Basis

Überprüfung auf Manipulation- erneute Berechnung- Vergleich mit Basis- falls Übereinstimmung, dann keine

Manipulation


Seite 15

Beispiel: TripWire

Quelle: http://www.tripwire.com/


Seite 16

1.4. SandBox-Technologie

• Hauptmerkmal: Simulation und Früherkennung

• Transfer und Ausführung verdächtiger Dateien in virtuellem Computer

• Durchführung von Abwehrmaßnahmen bei bösartigem Verhalten


Seite 17

2. Manuelle Suche (Windows)

• Überprüfung - laufende Prozesse- Autostart- Win.ini, System.ini, autoexec.bat, Config.sys

(Systemkonfiguration)- Winstart.bat

• Standard-Fall: Windows-Registrierungeinträge


Seite 18

Win-Registry


Seite 19

Vergleich mit Win-Registry

1. Sicherung der Regristrierungsdateien

2. leichteres Erkennen veränderter Einträge durch Vergleich mit diesen Dateien


Seite 20

3. Zentrale Suche

• Attacken auf Netzwerke• Intrusion Detection System


Seite 21

Attacken auf NetzwerkeNormalzustand: Traffic teilt sich am Internet-Router auf alle Clients hinter dem Router auf

Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html


Seite 22

Breitbandattacke: ein Rechner wird gezielt mit Anfragen oder Datenmüll überhäuft -> DistributedDenial ofService = DDoS

Attacken auf Netzwerke (2)

Quelle: http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-attacken.html


Seite 23

Intrusion Detection System

• vom Militär entwickelt • Erkennen bekannter Attacken

(Signaturen)• Probleme in der Praxis:

falsche Warnungen / Nichterkennung von Attacken

• Aufteilung in HIDS und NIDS


Seite 24

Hostbasierte IDS (HIDS)• scannt Systemdaten• Erkennen und Loggen von Angriffen• Vorteile:

- viele Details über Angriff- umfassende Überwachung

• Nachteile: - DoS hebelt HIDS aus- hohe Lizenzkosten- Beendung von HIDS bei Systemabsturz


Seite 25

Netzwerkbasierte IDS (NIDS) überwacht mit einem Sensor ein

Teilnetzwerk Vorteile:

– Erkennen von Angriffen, die Firewall umgehen

– eigenständiges System -> kein Leistungsverlust

Nachteile: - keine lückenlose Überwachung

garantiert


Seite 26

Sicherheitsstrategie

1. Gateway-Malware-Scanner, um eMails, HTTP- und FTP-Verbindungen zu prüfen (Gateway-Kontrolle)

2. Nutzung mehrerer Anti-Trojaner-Engines


Seite 27

Spezielle Trojaner: Rootkits

schlimmste Art von Trojanern verschaffen Angreifer volle Kontrolle

über das befallene System können ihre eigene Existenz nahezu

perfekt verschleiern beliebte Verstecke:

- in DLLs (Dynamic Link Libraries)- Tarnung als Gerätetreiber


Seite 28

Vorgehen gegen Rootkits• handelsübliche Trojaner-Scanner

versagen meist- nur effektiv, wenn Signatur des Trojaners

vor dessen Installation bekannt- somit schon Verhinderung seiner

Installation • einziger Schutz ist also:

ständiger Betrieb eines Trojaner-Scanners mit stets aktueller Datenbank


Seite 29

Linux - Nutzerrechte

• Linux: Multiuser-System mit unterschiedlichen Nutzerrechten

• Root=Superuser (Administratorrechte)• jeder Prozess durch Nutzerrechte

eingeschränkt• normale User können System nicht

beeinträchtigen


Seite 30

Kritische Systemverzeichnisse

● /bin und /sbin -> elementare Systemprogramme,

vlg. c:\windows\system● /usr

-> Anwenderprogramme● /etc

-> alle globalen Programmeinstellungen, auch Systemeinstellungen vgl. Registry

● alle ohne root-Zugang schreibgeschützt


Seite 31

Zusammenfassung

• kurze Erläuterung zu Trojanischen Pferden

• Schutzmechanismen• Erkennen und Beseitigen mit Hilfe

von Software• manuelle und zentrale Suche• Rootkits• Linux


Seite 32

Quellenangaben (1)

Internet-Links• http://www.univie.ac.at/comment/arch/04-1/041_10.html• http://www.pc-special.de/?idart=2060• http://de.wikipedia.org/wiki/Trojaner_%28Computer%29• http://www.emsisoft.de/de/kb/articles/tec040105 • http://source-center.de/forum/archive/index.php/t-1471.html• http://www.internetfallen.de/Hacker-Cracker/Trojaner/

Trojaner_Entfernen/trojaner_entfernen.html• http://www.ap.univie.ac.at/security/

opsys_windows_general_registry_keys.html• http://www.gfisoftware.de/de/whitepapers/network-protection-

against-trojans.pdf


Seite 33

Quellenangaben (2)Internet-Links• http://www.designerspiele.de/ReneVaplus/Looser/Trojaner/

trojaner.htm• http://www.schoe-berlin.de/Security/DDoS-Attacken/body_ddos-

attacken.html• http://www.itseccity.de/?url=/content/produkte/antivirus/

040808_pro_ant_normans.html• http://www.vhm.haitec.de/konferenz/1999/linux-malware/

welcome.htm

Bücher „Hacker Contest“, M. Schumacher, U. Rödig, M.-L- Moschgath, 2003 „Malware. Fighting Malicious Code.“, E. Skoudis, 2003


Seite 34

Das war‘s…

Documents

Trojanische Pferde Erkennen und Beseitigen Sophie Stellmach, Ulrike Zenner Proseminar IT-Security - WS 2004 / 2005 Quelle: