Viren et alii

Computer-Schad-Programme

Was wird versucht?

• Wurm
• Viren
• trojanisches Pferd / RAT: Remote Access Trojan
• Phishing (eigtl Infektionsvektor)
• Ransom Ware

Grundsätzliches zur Computersicherheit: Computer sind meist Arbeitsgeräte. Wenn man seinen Lebensunterhalt damit verdient, sollte man drauf aufpassen, dass das Ding gesund bleibt. Deswegen ist 'virenfrei' so schön, weil das Gerät dann weiterhin gemäß der Erwartungen funktioniert. Die Frage ist, wie schaffen wir das?

Was gibt es für Ungeziefer?

Würmer

• kann sich selbst vervielfältigen
• idR keine weiteren Schäden an Infrastruktur
• kann Resourcen verbrauchen
• ist Malware (bringt dem Nutzer nichts ein)
• muss ein Programm sein
• kann ohne Interaktion gestartet werden
• manchmal ohne/vor der Anmeldung an ein System

Viren

• kann sich selbst vervielfältigen
• führt unberechtigte Änderungen am Betriebssystem in flüchtigem oder nichtflüchtigem Speicher durch
  • an Daten (Verlust ist einfach, Veränderung schwierig feststellbar)
  • an Programmen (Programme machen dann was anderes bzw noch ein bisschen mehr)
• Diese Änderungen beinhalten Änderungen zum Nachteil der Hardware
• Viren kommen meist in Wirtsprogrammen
• Viren gedeihen gut in eingebetten Steuerinformationen in Daten Bsp: MS Word/Access/Excel-Dateien mit ihren entsprechenden MS-Programmen
• Modifikation von Dateien (nennt man dann Wirtsdateien)
  • Programmdateien
  • Programmbibliotheken
  • Skripte
  • Dokumente mit Makros (!)
  • Bootsektor (als Nicht-Datei)
• Anwender spielt zentrale Rolle in Verbreitung des Virus
• Verbreitung durch Design- und Programmierfehler in Programmen/Protokollen ist möglich! (in Protokollen eher selten)
• Würmer und Viren werden von den Anwendern oft verwechselt (Wurm wird als Virus dargestellt)
• 9,9% (2006, Angaben des Bundes) aller Schädlinge waren Viren (lustige Aussage)

trojanisches Pferd

• verborgene Funktionalität
• gezielt, geht auch ungezielt
• meist durch Beenden/Löschen nicht zu stoppen: Eigtl. Schad-Funktionalität im zweiten Programm, der 'verborgenen Funktionalität', kann Installer sein
• auf diesem Weg lässt sich ein System komplett kompromittieren
• abgesehen von beliebiger Datenänderung sind möglich:
  • Passworte ausspähen
  • Software "nachladen" + installieren, wenn man das muss
  • Bildschirm überwachen
  • Tastatur mitschneiden
  • Eingabegeräte simulieren: Eigene Eingaben auf dem infizierten Rechner machen
  • wieder Verbreitung durch den Anwender
  • kommen meist in Kombination mit Würmern
  • 55,5% (2006, Angaben des Bundes) aller Schädlinge waren Trojaner

Remote Access Trojans (RATs) nutzen zum Einbruch die Windows-eigene Instrumentation, namentlich den Windows Remote Desktop Dienst; Effekt ist derselbe, weniger Arbeit fuer den Einbrecher => unbedingt RDP abstellen, wenn es nicht benötigt wird

Phishing

• ein Infektionsvektor
• mit/durch Social Engineering
• Identitätsdiebstahl
• Zweck:
  • Kontoplünderung
  • Impersonation
  • Geld
• über E-Mail
• Vorspiegelung falscher Tatsachen
• geht auch durch andere Nachrichtendienste (SMiShing)
• gibts mit und ohne gefälschte Websites

Spear-Phishing

Wie Phishing, mit kleinerer Zielgruppe => zielgerichteteren Angriff

Dynamite-Phishing

Wie Phishing, mit größerer Zielgruppe => breiter gestreuter Angriff

Ransom Ware

• Erpressungs-Trojaner
• Verschlüsselung der Daten auf dem angegriffenen System
• evtl Extraktion der Daten auf einen Server der Angreifer
• anschließende Lösegeldforderung zum Entschlüsseln der Daten
• evtl anschließende Lösegeldforderung zur Einhaltung der Daten-Vertraulichkeit
• technisch hochwertige Angriffe fordern die Verteidiger heraus
• modularer Attack-Code
• erste Tote (Düsseldorf)
• Infektions-Vektor AD/Outlook/Exchange
• "Outlook Harvesting" ist angesagte Methode
• wie immer: altbekannte Sicherheitslücken sind meist ungepatcht

Viele Empfänger haben sich vermutlich zunächst gewundert, warum ihnen die Schwiegertochter oder der Nachbar plötzlich eine Rechnung sendet, aber die Neugier und der vermeintlich bekannte Absender haben sie dann doch zum Öffnen des schädlichen Anhangs veranlasst. Im geschäftlichen Umfeld ist es vielleicht sogar üblich, dass der im vermeintlichen Absender genannte Kollege eine Rechnung weiterleitet.

Es gibt noch vieles mehr, aber das ist das, was wir heute behandeln ;)

Infektionsvektoren

• Phishing geht immer!
• Exponierte Software, gerne ältere, zB RDP, SSH
• Active Directory mit minimalen Einstellungen => maximalen Rechten
• Exchange-Server
• Outlook als E-Mail-Client auf Steroiden, die Dich umbringen
• schmutzige Dateien auf Produktivsystemen
• schmutzige Datenträger auf Produktivsystemen
• schlechte Verteidigung durch ausbleibende Updates
• "Virenschutz" wiegt Anwender in falscher Sicherheit
• "Virenschutz" vergrößert die Angriffsoberfläche
  • zB durch olle pdf-Parser, Ausbruch aus/Abwesenheit deren Sandbox

Gegenmassnahmen

• Virenschutz ist bei Ransom Ware völlig wertlos, auch sonst nicht toll (unbekannte, neue Schädlinge)
• guter Kopf auf den eigenen Schultern: "Muss ich das öffnen?"
• Brauser: Skripte aus auf Produktivmaschinen!
  • unbekannten Seiten nie Skripte erlauben
  • nur für bekannte Seiten freigeben (zB youtube)
• keinen Schmuddelkram auf Arbeitsrechnern
• E-Mail-Programm:
  • Vorschau aus/zahm stellen!
  • Mail Header beachten
• aktuelle Updates sind eingespielt
• keinen Schmuddelkram auf Arbeitsrechnern
• Backups von allem, das aufbewahrt werden soll!
• Off-Site-Backups von allem, das aufbewahrt werden soll!
• Wissen/Weiterbildung/Unterweisung für die Mitarbeit(er)
• kleine Rechte klein lassen, keinesfalls eskalieren (Feind könnte mithören)
  • deswegen gibt es unterpriviligierte Nutzerkonten!
  • wenn das System kompromittiert ist, lauscht der Angreifer per Keylogger auch aufs Admin-Kennwort (die letzten beiden als key learnings auf heise.de)

weiterführende Links

• SWR-Doku zum Thema
• interessanter Ransom Ware Artikel auf heise I
• interessanter Ransom Ware Artikel auf heise II