Viren

Elias Manser

Was sind Computerviren ?

Computerviren sind von Menschen geschriebene Programme, die sich selbst reproduzieren, indem sie sich an andere Programme anhängen.

Man unterscheidet zwischen Programmviren und Systemviren.

Unterschied zwischen Virus und Wurm

basieren zum Teil auf vollkommen verschiedenen Konzepten und Techniken.

Wie verbreitet sich der Virus?

Unterschied zwischen Virus und Wurm Würmer warten nicht passiv darauf, von

einem Anwender auf einem neuen System verbreitet zu werden.

Sicherheitsprobleme z. B.: Netzwerk-Dienste Design- und Programmierfehler

ComputervirentypenBootviren

Dateiviren

Makroviren

Würmer usw.

Bootviren

ersten Viren überhaupt

Boot-Sektor-Viren verstecken sich in der Regel den Boot-Sektor

schaden der Festplatte selber

Dateiviren

Sie infizieren ausführbare Programme und können bei deren Abarbeitung aktiviert werden.

hängen sich an ausführbare Dateien an

Programme werden so durch den Virus erweitert

Makroviren

nicht als eigenständiges Programm vorliegen

das in einem Dokument eingebettet ist.

nistet sich selbst in andere Dokumente ein und hat eine schädliche Funktionen

via Computernetzwerke weiterleiten

Systeminfektion meist durch das Öffnen infizierter E-Mails

IRC-Software, Peer-to-Peer-Programme, Instant-Messaging-Programme sowie über Dateifreigaben.

WürmerWürmer

Trojaner-Programme

unterscheiden sich voneinander durch die Tätigkeiten

Trojan-PSW

Trojan-Clicker - Internet-Klicker

Trojaner-Programme

Weitere Viren und Würmer:

Skriptviren

Mischformen

EICAR-Testdatei

Wer schreibt Schadprogramme und warum?

Cyber-Vandalismus - Stufe 1Kids, die das Programmieren gerade

erst erlernt Cyber-Vandalismus - Stufe 2

waren Jugendliche, gewöhnlich Studenten

Die Anfänge

Der Univax 1108 und der IBM 360/370 Mitte der 70er Jahre waren schon befallen.

Die Idee von Computerviren kam allerdings schon in den 40er Jahren

populären Arbeiten von John von Neumann

Hacking

von Chris Dittinger und Kevin Wrann

Plattformen & Systeme für Angriffe Windows 98/Me/XP/Vista Linux, und andere “Low-Cost” Produkte von

UNIX Windows UND Linux Systeme sind gemeinsam

Ziele

Exploits – die Ausführung

Brute force und Wörterbuch Attacken Software Fehler Falsche Eingaben Buffer Overflows Sniffing

Lokale and Remote Angriffe

Lokal: Angriffe mit physikalischen Zugriff auf die Maschine

Remote: Angriffe über das Netzwerk

Lokale Angriffe auf die Workstation?

Hacker sammeln mehr Informationen über das Netzwerk und seine User

Hacker können das Administrator Passwort übernehmen, was zur Übernahme eines Server führen kann

Spyware kann installiert sein, um einfacher Informationen zu erlangen

Allgemein bekannte lokale Angriffe sind: Übernahme der admin/root Rechte der lokalen

Maschine Knacken des lokalen Passworts Entfernen der Festplatte und in einen anderen

Rechner einbauen Sogenannte „Exploiting“ Dateien oder

Kommandos beim login oder Systemstart

ARP Spoofing

Hacker benutzen Programme wie arpspoof um die Identität im Netzwerk zu ändern und somit Daten empfangen zu können, die eigentlich gar nicht für diesen bestimmt sind

IP Spoofing

Fälschen der IP Adresse Umlenken von Systemanfragen Pakete erhalten, die eigentlich gefiltert

werden sollten Verwirrt das Netzwerk, Switche und

Router

DoS Angriffe

Denial of Service Angriffe machen es Unmöglich für berechtige Benutzer auf Netzwerk Resourcen zuzugreifen

Allgemeine Resourcen Festplattenplatz Prozessor oder Rechenzeit

Benötigte Bandbreiten Smurf Attacken DDoS (Distibuted DoS)

Distributed Denial of ServiceSogenannte “stille Agenten” (Zombies) auf einem Computer installiert durch einen Wurm oder

Virus und helfen heimlich mit, ein entferntes Ziel anzugreifen

Client

Agent Agent Agent Agent Agent

Target

Master Master Master

SYN Flooding

Zahllose SYN Packete werden übermittelt; solange bis die Verbindung aufgebaut wurde

IP Spoofing verhindert im weiteren das Zurückverfolgen zur Quelle

Netzwerk Hacking: Ein 4-Schritte Vorgang

1. Footprinting2. Scanning und Enumerating3. Researching4. Exploiting

Footprinting

Alles über die Organisation, die Angegriffen wird, herausfinden was zu ihr gehört: Die entsprechenden Netzwerkresourcen finden

(Netzwerkblöcke) Anpingen der Netzwerk Broadcast Adresse

Scanning und Enumerating

Welche Dienste laufen? Welche Benutzerkonten bestehen? Wie wurde was aufgesetzt, bzw.

installiert?

Scanning und Enumerating: Werkzeuge Port Scannen

Nmap Sniffing

ngrep SNMP

Solarwinds

Null session NBTenum Nbtdump

Scanning und Enumerating: Werkzeuge NetBIOS Browsing

Netview Legion

Sicherheitslücken Scanner Nessus Winfingerprint LANGuard

Buffer OverflowHacker senden mehr Daten, als vom Puffer

abgearbeitet werden kann, wodurch erreicht werden kann, dass jeder beliebige Code ausgeführt werden kann.

ZugeteilterSpeicherfür das

Programm

Hackersendet

Daten für einen

Überlauf

Code

Puffer istüberlastet;

Das Kuckuckseiwird

ausgeführt

Code

Hacker = Man in the middle

Sniffing im lokalem Netzwerk In Netzwerken ohne Switche wird jeder

Netzwerkverkehr an jeden Rechner gesendet Computer mit Netzwerkkarten die im

sogenannten „promiscuous” (gemischten) Modus laufen, können alle Daten, die über das Kabel laufen, mitlesen

Protokolle wie FTP, HTTP, SMTP und POP3 sind unverschlüsselt, jedes Passwort kann im Klartext ausgelesen werden

Sniffing: Switched Netzwerke

Switche senden Daten ausschließlich zum Zielrechner

Switched Netzwerke sind wesentlich sicherer (direkt von Quelle zum Ziel)

Switche erhöhen eindeutig die Geschwindigkeit im Netzwerk

Smurf Angriffe

Ping Anfragen werden an eine Broadcast Adresse eines Subnetzes gesendet; gefälschte Packete täuschen vor das Ziel zu sein

Alle Computer im Netzwerk antworten und senden Informationen an den Hacker PC zurück

Bereits mit einer 56k Modem Leitung kann ein Server, der an einer T1 Leitung hängt, überfluten

Vielen Dank!