Computerviren © 2002 IKARUS Software. Z I E L S E T Z U N G : Risiko-Bewertung...

ComputervirenComputerviren

© 2002 IKARUS Software


Z I E L S E T Z U N G :Z I E L S E T Z U N G :Risiko-Bewertung

Entscheidungsgrundlagen

Analyse des Bedrohungspotentials

Realisierung / Umsetzung

Richtige Einschätzung der Situation; wie sehen mögliche

Bedrohungsszenarien für meinen Bereich/Umfeld aus.

Welche Auswirkungen haben diese Szenarien auf

mich/Workflow/Unternehmensführung/Unternehmenserfolg

Für die Beurteilung „Ihrer“ Virenschutzmaßnahmen;

Wissen um die Erstellung einer modernen Antivirus-Policy

einer vitalen „virus-wall“ auf unterschiedlichen Netzwerk-Ebenen;

Praktische Umsetzung der getroffenen Antivirus-Policy


I.I. SchrittSchritt

Was unternehme ICH im Moment dagegen ?

Was sind Viren

Wie kann man sich schützen

Womit & mit wem Sie es zu tun haben

Infektionswege

Client-Virenschutz

Administration

Virenschutz auf Mailgateways

Was sind VirenWas sind Viren

• Biologische Vergleiche/Namensgebung

• Wie entstehen Computerviren

• Woraus bestehen und wie arbeiten sie

• Welche Typen gibt es


Viren: rechtliche LageViren: rechtliche Lage


Virus Typen Virus Typen (Grobgliederung)(Grobgliederung)

• Boot-Viren (ParityBoot/Angelina)

• File-Viren (Tequilla,CIH)

• Makro-Viren (CAP/Laroux;Ethan)

• VBS (Skript)-Viren (Loveletter,Freelink)

• Würmer (Happy99, PrettyPark)

• Trojaner (NetBus, BackOriffice)

• Sonstige (IRC.StagesA, Toadie)


Chronologie einer Entwicklung

1949:1949: die Theorie entstehtdie Theorie entsteht

die 70er:die 70er: der erste „Spiel“-Wurm der Geschichte kommt auf (CoreWars)der erste „Spiel“-Wurm der Geschichte kommt auf (CoreWars)

1981:1981: der Begriff „Computervirus“ wird eingeführtder Begriff „Computervirus“ wird eingeführt

1983:1983: das erste funktionsfähige Virus wird von Fred Cohen programmiertdas erste funktionsfähige Virus wird von Fred Cohen programmiert

1985:1985: ein trojanisches Pferd löscht Dateien auf der Festplatteein trojanisches Pferd löscht Dateien auf der Festplatte

1986:1986: das Bootsektor Virus „VIRDEM“ wird vorgestellt.das Bootsektor Virus „VIRDEM“ wird vorgestellt.

Erste Virusinfektion auf einem GroßrechnerErste Virusinfektion auf einem Großrechner

erstes MS-DOS Virus aus Pakistan verbreitet sich bis in die USAerstes MS-DOS Virus aus Pakistan verbreitet sich bis in die USA

die ersten Virenscanner kommen auf den Marktdie ersten Virenscanner kommen auf den Markt

1987:1987: das erste Apple-Virus wird bekanntdas erste Apple-Virus wird bekannt

die zweite Generation der Viren entstehendie zweite Generation der Viren entstehen

1989:1989: Polymorphe (vielgestaltige) Viren werden gefundenPolymorphe (vielgestaltige) Viren werden gefunden

Chronologie einer Entwicklung

1991:1991: die Anzahl der neu gefundenen Viren wächst explosionsartig andie Anzahl der neu gefundenen Viren wächst explosionsartig an

die ersten Organisationen im Kampf gegen Computerviren entstehendie ersten Organisationen im Kampf gegen Computerviren entstehen

1992:1992: 2.000 Viren sind bekannt! Darunter „Michelangelo“2.000 Viren sind bekannt! Darunter „Michelangelo“

1993:1993: 2-3 neue Viren/Monat2-3 neue Viren/Monat

1995:1995: der Damm bricht! Windows-Viren, Macro-Viren, plattformübergreifende Viren...der Damm bricht! Windows-Viren, Macro-Viren, plattformübergreifende Viren...

1996:1996: über 10.000 verschiedene Viren-Varianten sind bekannt über 10.000 verschiedene Viren-Varianten sind bekannt

1997:1997: erstes Linux-Viruserstes Linux-Virus

1998:1998: Java wird von den Virenschreibern entdeckt, erstes „Hard-Ware“ VirusJava wird von den Virenschreibern entdeckt, erstes „Hard-Ware“ Virus

1999:1999: Happy 99 bleibt über Jahre aktivHappy 99 bleibt über Jahre aktiv

2000:2000: 4. Mai 2000 LoveLetter verändert das Denken in der Virenszene!4. Mai 2000 LoveLetter verändert das Denken in der Virenszene!

Anteilige VerbreitungAnteilige Verbreitung


Quelle: ICSA, Virus-Survey 1999Quelle: ICSA, Virus-Survey 1999

Virentypen

FILE 9%

DON'T KNOW

9%

MIX 1%

MACRO 63%

OTHER 8%

BOOT 10%

Wie sah es im Jahr 2000 ausWie sah es im Jahr 2000 aus


Quelle: ICSA, Virus-Survey 2000Quelle: ICSA, Virus-Survey 2000

Virus Name HäufigkeitPCs verseuchtVBS/Loveletter 123 456.570 W97M/Melissa 9 22.350 Andere 6 6.355 X97M/Laroux 3 8.150 W32/Funlove 2 1.900 W97M/Ethan 2 4.200 W97M/Marker 2 6.050 W95/CIH 1 1.100 WIN32/Ska (Happy99) 1 1.200 JS/Kak.Worm 1 500 W97M/Class 1 1.500 W32/PrettyPark 1 1.500 TOTAL 152 511.375

W97M/Melissa

5%

VBS/Loveletter90%

X97M/Laroux2%

W97M/Marker1%

W97M/Ethan

1% Andere

1%

0%

10%

20%

30%

40%

50%

60%

70%

80%

Viruses/Trojans/Worms

Denial of Service

Exploits related to activeprogramm scripting

Attacks related to protocolweakness

Attacks related to insecurePasswords

Buffer overflow

Attacks on bugs in WebServers

Art der Attacke Mittelwert/JahrViruses/Trojans/Worms 80%Denial of Service 37%Exploits related to active programm scripting 37%Attacks related to protocol weakness 26%Attacks related to insecure Passwords 25%Buffer overflow 24%Attacks on bugs in Web Servers 24%

Risiko von Attacken

© 2002 IKARUS SoftwareQuelle: ICSA

Wie groß ist die Gefahr?Wie groß ist die Gefahr?

Infektion pro 1.000 PC´s

19 21 32

80

231

-50

0

50

100

150

200

250

1996 1997 1998 1999 2000

Jahr

Vir

us



© 2002 IKARUS SoftwareQuelle: Messagelabs/UK

Emails: Infektionsrate 2001 -2002

Anzahl betroffene Rechner gesichertUpdateintervall in Wochen

wahrscheinlich infizierte Rechner

Mail Accounts über LAN 1000 44,80 1 1 22,40Mail Accounts über Wählleitung 2 0,09 0 0,09private POP3 Accounts über LAN 5 0,22 0 0,22RAS-Zugänge zum LAN 10 0,80 0 0,80Disketten- und CD-Laufwerke 1000 27,20 1 1 13,60WWW Zugänge über LAN 1000 2,40 1 5 2,38FTP Zugänge über LAN 1000 7,20 1 5 7,14private Modemanschlüsse 10 0,45 0 0,45Webmailaccounts 1000 44,80 1 5 44,44

0,00

5,00

10,00

15,00

20,00

25,00

30,00

35,00

40,00

45,00

Infektions-wahrscheinlichkeit [%]

Mai

l Acc

ount

s üb

erLA

N

Mai

l Acc

ount

s üb

erW

ählle

itung

priv

ate

PO

P3

Acc

ount

s üb

er L

AN

RA

S-Z

ugän

ge z

umLA

N

Dis

kett

en-

und

CD

-La

ufw

erke

WW

W Z

ugän

geüb

er L

AN

FT

P Z

ugän

ge ü

ber

LAN

priv

ate

Mod

eman

schl

üsse

Web

mai

lacc

ount

s

Wahrscheinlichkeit von Virenattacken


Die häufigsten InfektionswegeDie häufigsten Infektionswege


Quelle: ISCA virussurvey 99 1999 2000Virenquelle je 1.000 Infektionen je 1.000 InfektionenDiskette: home 144 42Diskette: sales demo 16 1Diskette: shrink-wrapped software 3 1Diskette: LAN manager/supervisor 3 1Diskette: repair/service person 15 2Diskette: malicious person 3 6Diskette: other 78 9CD: software 3 1Download: BBS / ISP 99 31Download: FTP, BBS, host 15 12Email attachment 501 828Automated software distribution 3 12WWW: browsing 27 18Other 9 12None specified 15 7Don't know 66 17

1.000 1.000


4. Mai–Liebesbrief geht um die Welt 4. Mai–Liebesbrief geht um die Welt Quelle: Messagelabs/UK


SirCAM - VirusSirCAM - VirusQuelle: Messagelabs/UK

1998 1999kein Verlust 24% 24%bis 1.000 USD 8% 10%bis 10.000 USD 11% 12%bis 500.000 USD 8% 12%bis 1 Mio USD 10% 10%unbekannt 47% 41%

Verluste durch Virus IncidentsVerluste durch Virus Incidents


0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

50%

keinVerlust

bis 1.000USD

bis 10.000USD

bis500.000

USD

bis 1 MioUSD

unbekannt

1998

1999

1997 1998 1999Keine 51% 36% 26%bis 4 Std. 21% 22% 17%4-8 Std. 10% 14% 17%9-24 Std. 10% 13% 14%über 24 Std. 19% 15% 16%1-3 Tage 12% 8% 10%3-6 Tage 3% 3% 3%7-10 Tage 2% 2% 1%über 10 Tage 2% 2% 2%

0%

10%

20%

30%

40%

50%

60%

Keine bis 4 Std. 4-8 Std. 9-24 Std. über 24 Std.

1997

1998

1999

0%

10%

20%

30%

40%

50%

60%

Keine bis 4 Std. 4-8 Std. 9-24 Std. über 24 Std.

1997

1998

1999

1997

1998

1999

Down-Time Aufgrund VirenDown-Time Aufgrund Viren



Wer dahinter stecktWer dahinter steckt

David Smith („Melissa“)David Smith („Melissa“)USA, 26 Jahre, männlichUSA, 26 Jahre, männlich

Cheng Ing-Hau („CIH“ alias Tschernobyl)Cheng Ing-Hau („CIH“ alias Tschernobyl)Taiwan, 25 Jahre, männlichTaiwan, 25 Jahre, männlich

Onel Guzman („LoveLetter“)Onel Guzman („LoveLetter“)Philippinen, 23 Jahre, männlichPhilippinen, 23 Jahre, männlich

Jan de Wit alias „On the fly“(„Kournikova“)Jan de Wit alias „On the fly“(„Kournikova“)Niederlande, 20 Jahre, männlich...Niederlande, 20 Jahre, männlich...


Ihre „Message“Ihre „Message“

I HAVE NO RATIOI HAVE NO RATIO

This begins a time of darkness. From now until Yule, the days grow darker and colder.

Winter storms begin to sweep down from the north”

"Kill them all...let god sort them out "

FUCK U IMMEDIATELY, LOSER !

he, your lame client cant read HTML, hahaclick attachment to see some stunningly HOT stuff

long live to the writers..... may the source be with you

The Dark is Ready... w i n d o w s s u c k s

AleVirusAcid Bytes

Algol

AuroDreph

Apoc

Asmodeus

Angus Thermopyle

babyvirii

AkKort

Anaktos


Mit wem Sie es zu tun habenMit wem Sie es zu tun haben

Assembler Head

Ac id Bytes, AkKort, Alevirus, Algol, Anaktos, Angus Thermopyle, Apoc , Asmodeus, Assembler Head, AuroDreph, babyvirii, Bayros, Bench, Benny, Bfr0vrFl0, Billy Belcebú, Black Cat, Black J ack, Blue Cat, bsl4, Buddy Music , Bumblebee, BugHunter, Cicatrix, Clau, CyberShadow, CyberYoda, Cyphonix, Daniel, darkbyte, darkman, Dark Slayer, Deadman, DeCaY, Del_Armg0, d0c , DrDope, Dr[yozak], Dr Zero, DuSTFaeRie, Eddow, Evul, f0revir, Fayte, Flitnic , FRiZER, Furkon, Galar, Genoc ide, GeneCode, GigaByte, GGNome, GriYo, Guillermito, HenKy, Int13h, J ackie, J ack the Ripper, J ack L iu, J acky Qwerty, J FK_, J .S.Bach, Kamaileon, Knowdeth, Lethal Mind, L iFEwiRE, Lord Arz, Lord Asd, LordDark, Lord J ulus, Lys Kovick, Malware, Mandragore, Memory Lapse, Midnyte, Mist, moebius, mort, MrSandman, Murkry, Newton, nfission, Nigromant, Nightmare J oker, nuc leii, Paddingx, Paradizer, Parasite, Pastol, Paul Zest, PaX, Perikles, Phage, PhreakX, Poltergeist, PoLyMaTh, P rizzy, P ruslas, Psyc lone X, quilb, raenius, Rajaat, Raid, Rebyc , Recoder, Reptile, Retch, R-E-V, Roadkil, Ruiner, Ruzz, Sepultura, Serial K iller, Shadow Seeker, Sizif, S lage Hammer, Slumdung, Snake Byte, Snake Layer, Sokrates, Sopinsky, Sph1nx, Spooky, Spyda, SSR, Staggle, StarZero, StRaMoNiUm, Super, Szule, T -2000, Tcp, The L ich, The Spy, The Wizard, T itanics, Ultras, Vecna, [VEiN], VicodinES, Virax, VirusP , Virus-X, ViruVox, VxFaeRie, wEiRd GeNiUs, Wintermute, Worf, XaRaBaS, xHeCS, Yanush Milovski, Z0MBiE, Zordhak, Zhuge J in, Zulu.


Wie sind sie organisiert Wie sind sie organisiert

*-zine, 29A, Cyber Criminals Clan, Alternative Virus Mafia, CodeBreakers, Corean Virus Club, Dark Conspiracy, DDT, Duke´s Virus Labs, Feathered Serpents, IKX, Immortal Riot, LineZer0 VX Team, [MATRiX], Metaphase VX Team, Moonbug, Nomercy Virus Team, NOP, Nuke, Pinoy Virus Writers, Renegade, Shadow Dancer Team, Shadow Virus Group, Silicium Revolte, Stealth Group, Sign Of Scream, SLAM, Technological Illusions, VBB, VLAD and all the other live/died virii groups.

Alta-Virus, Association of Satanic Maniacs, AVX, Collection Maker Home Page, Drop the virus, DVC, HCDS, Hecatombe, Hex Files, Internet Virii Collecting Group, Kefrens, My Fantasy Viruses Trading Centre, nUcLeii's world, Realm Electronic Magazine, Siberian Bears Virus Club, SpyjureNet Virus, The Virus Bunkerz, Top Device, Ultimate Chaos, Undernet #virus's, Virii Argentina, Virus Brasil, Virus Dungeon, Virus Info Center, Virus List, Virus Quarantine, VXD-NET, VX Heavens, VX India

Do-It-Your Self BaussatzDo-It-Your Self Baussatz oder; Virenschreiben für Dummiesoder; Virenschreiben für Dummies

DarkChasm's Word 97 Macro Virus Construction Kit

Nach Betätigung der Schaltfläche OK erzeugt das MVCK automatisch ein Dokument das mit einem funktionsfähigen Makrovirus infiziert ist.

© 2002 IKARUS Software© 2002 IKARUS Software

Folgende Makros stehen zur Wahl:

AutoOpen

AutoClose

FileSaveAs

FileSave

FilePrint

EditFind

ToolsWordCount

WURM -WURM - Generator Generatoroder; Virenschreiben für Dummiesoder; Virenschreiben für Dummies

[K]Alamar VBS Worm Generator


Trojan -Trojan - Generator Generatoroder; Trojanerschreiben für Dummiesoder; Trojanerschreiben für Dummies


Scanner – StrategienScanner – Strategien Technologie-BasierendTechnologie-Basierend

ON – DEMANDON – DEMAND„„manuelle“ Scanen von manuelle“ Scanen von Anwenderdefinierten DateienAnwenderdefinierten Dateien

ON – ACCESSON – ACCESS„„online“ – Überwachung von allen online“ – Überwachung von allen virenrelevanten Systemvorgängenvirenrelevanten Systemvorgängen

Scheduler - „Getriggert“Scheduler - „Getriggert“


Oneline-Wächtern Oneline-Wächtern (Guard, Shield, etc)(Guard, Shield, etc)

Gateway-ScannernGateway-Scannern

(Mailwall, Viruswalls, etc(Mailwall, Viruswalls, etc

ApplikationsbasierendApplikationsbasierend

(Integration einer (Integration einer Scanner-dll)Scanner-dll)

Scanen auf „Knopfdruck“Scanen auf „Knopfdruck“

Browser - PluginBrowser - Plugin

Scanner – Strategien Scanner – Strategien „Organisations“-Basierend„Organisations“-Basierend

Black – List - AnsatzBlack – List - AnsatzVORDEFINIERTE Dateien (-Typen) oder VORDEFINIERTE Dateien (-Typen) oder Inhalte DÜRFEN NICHT ausgeführt Inhalte DÜRFEN NICHT ausgeführt oder verbreitet werdenoder verbreitet werden

Weniger restriktiv, ermöglich Weniger restriktiv, ermöglich jedoch ein flexibleres jedoch ein flexibleres Risikomanagement, allerdings Risikomanagement, allerdings extrem wartungsintensivextrem wartungsintensiv


Unterschiedliche Unterschiedliche Gruppendefinitionen ermöglichen Gruppendefinitionen ermöglichen einen optimal angepassten einen optimal angepassten VirenschutzVirenschutz

Erfordert genaue Analyse möglicher Erfordert genaue Analyse möglicher Bedrohungs-Szenarien der für den Bedrohungs-Szenarien der für den Arbeitsprozess eingesetzten Arbeitsprozess eingesetzten Systeme, Dateien und Mitarbeiter.Systeme, Dateien und Mitarbeiter.

Firewall

Standorte der VirenscannerStandorte der Virenscanner


Mailserver

Fileserver Clients

Proxy

Virus Scan

Virus Scan

Virus Scan

Virus Scan Virus

Scan

R.I.P.R.I.P.

R.I.P.

R.I.P.

Provider

das leidige Themadas leidige Thema


der neue Wegder neue Weg


gehosteter Virenschutzgehosteter Virenschutz


über IKARUS Scan-Centerüber IKARUS Scan-Center über ISPüber ISP


gehosteter Virenschutzgehosteter Virenschutz

hat einen Namenhat einen Namen

ISP/ASPISP/ASP

Nachteile- interner Mailverkehr wird nicht überprüft;- nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter);


Provider

Vorteile– vorverlegte „First Line of Defense“– nur „vorgefilterter“ Traffic/geringerer Anteil an Viren– höchste Ausfall-Sicherheit /Entsprechendes Know-how– keine Installation – Problem wird zum Teil „outgesourced“ – eigene Ressourcen

werden geschont– 24h x 7 Tage Wartung der Software– Scannt den gesamten SMTP-Verkehr mit Hilfe von 3 verschiedenen Scannern– Benachrichtigt Sie über Incidents per Email

ISP/ASPISP/ASP


Firewall/ProxyFirewall/Proxy/MailserverMailserver

Vorteile– zentrale Verwaltung– nicht nur E-Mail Scan (auch HTTP, FTP)– vermeidet, daß Viren bis auf LAN Server gelangen– Verhindert Relaying der Mailserver– „Black“- und „White“-List Ansätze– ermöglicht den Einsatz weiterer „Filter“

Nachteile– interner Datentransfer (via Fileserver) wird nicht überprüft– nicht alle Inhalte können gescannt werden (Verschlüsselung,

Passwörter)– erfordert schon bestimmtes Know-how– möglicher Ausfall bei Problemen


Firewall

Proxy

Mailserver

FirewallFirewall


FileserverFileserver Vorteile

– zentrale Virenüberwachung– einfachere Umsetzung von Virenschutzmaßnahmen– zentrale Konfigurierung – verhindert Großflächige Ausbreitung / hält Infektionen lokal– kann nicht/kaum vom Anwender umgangen werden

Nachteile

– nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter)

– Performance– bei Problemen „steht“ der Fileserver unter Umständen


File- Server

ClientClient

Vorteile– alle Dateien können gescannt werden (z.B: nach dem Entpacken

eines Archivs bzw. nach dem Entschlüsseln einer Datei.– höhere Ausfallsicherheit auf Grund der dezentralen Ausrichtung– Stand Allone PC´s und kleiner PC Gruppen können überwacht werden

Nachteile– dezentrale Verwaltung– mehr Aufwand für Updates– kann vom User unter Umständen deaktiviert werden


Clients


Was uns erwartetWas uns erwartet

Anzahl und Variationen steigen, Hardwareschäden werden modernAnzahl und Variationen steigen, Hardwareschäden werden modern

Multi-Office Makro VirenMulti-Office Makro Viren

IRC/ICQ/Pirch Viren IRC/ICQ/Pirch Viren

Steigende Netzwerkfunktionalität (Verknüpfung Wurm/Trojaner)Steigende Netzwerkfunktionalität (Verknüpfung Wurm/Trojaner)

Entwicklung neuer Angriffstrategien (Wurm/DDOS)Entwicklung neuer Angriffstrategien (Wurm/DDOS)

Angriffe gegen PDC/PDA, „WAP-Viren“Angriffe gegen PDC/PDA, „WAP-Viren“

Angriffe gegen Service Provider (ASP´s)Angriffe gegen Service Provider (ASP´s)

Verstärktes Auftreten von BackdoorProgrammenVerstärktes Auftreten von BackdoorProgrammen

Offensive Code (Samhain)Offensive Code (Samhain)

Linux/Unix Dervivat-MalwareLinux/Unix Dervivat-Malware

• Mangelndes Problembewußtsein

• Fehlendes Know How

• Fehlende Ressourcen

• Inadequate Weiterführung /Dynamik des Problems überwiegt die Dynamik der Aufwendungen

KKK – Klassischen-Ko-KriterienKKK – Klassischen-Ko-Kriterien


Computerviren © 2002 IKARUS Software. Z I E L S E T Z U N G : Risiko-Bewertung...

Documents

Transcript of Computerviren © 2002 IKARUS Software. Z I E L S E T Z U N G : Risiko-Bewertung...