06 - Malware

Question 1

Definition: Malware

Answer 1

Software mit bösartiger Wirkung

Question 2

Einordnung von Malware (3)

Answer 2

1) Replikation
2) Populationswachstum
3) Parasitismus

Question 3

Definition: Replikation

Answer 3

Die Malware versucht, sich aktiv zu verbreiten, z.B. Herstellen von Kopien oder neuen Instanzen von sich selbst.

Question 4

Definition: Populationswachstum

Answer 4

Beschreibt die Veränderung der Anzahl der Malware-Instanzen aufgrund von Replikation

Question 5

Definition: Parasitismus

Answer 5

Die Malware benötigt einen Wirt um zu existieren, z.B. Bootblock-Code, ausführbarer Binärcode, Source-Code, Macros und Skriptsprachen.

Question 6

Malware-Typ: Logische Bombe

Answer 6

Diese relativ klein und schwer auffindbare Malware besthet aus einer Nutzlast (eine beliebige böswillige Aktivität) und einen Auslöser (boolesche Bedingung, die entscheidet, ob die Nutzlast ausgeführt wird).

Question 7

Einordnung: Logische Bombe

Answer 7

Replikation: Nein
Populationswachstum: Keins
Parasitismus: Möglich

Question 8

Malware-Typ: Trojanisches Pferd

Answer 8

Ein Programm, das eine vom Nutzer gewünschte Funktionalität besitzt, sowie eine vom Benutzer nicht gewünschte Funktionalität, die verborgen und ohne Einwilligung des Nutzers ausgeführt wird.

Question 9

Einordnung: Trojanisches Pferd

Answer 9

Replikation: Nein
Populationswachstum: Keines
Parasitismus: Ja

Question 10

Malware-Typ: Hintertür

Answer 10

Malware, die dediziert dafür vorgesehen ist, Sicherheitsmaßnahmen des Systems umzugehen, auf dem sie existiert. Hintertüren können in Programme eingefügt sein (via trojanisches Pferd) oder eigenständig existieren.

Question 11

Einordnung: Hintertür

Answer 11

Replikation: Nein
Populationswachstum: Keines
Parasitismus: Möglich

Question 12

Malware-Typ: Virus

Answer 12

Malware, die sich beim Ausführen verbreitet, indem sie sich selbst in Wirten einnistet, diese also infiziert. Die initiale Infektion wird ggf. von einem als Dropper bezeichneten Trojanischen Pferd durchgeführt.

Question 13

Einordung: Virus

Answer 13

Replikation: Ja
Populationswachstum: Positiv
Parasitismus: Ja

Question 14

Malware-Typ: Wurm

Answer 14

Malware, die sich beim Ausführen verbreitet, indem sie sich über ein Netzwerk in Wirtssystemen einnistet. Ein Wurm existiert eigenständig im Wirtssystem

Question 15

Einordnung: Wurm

Answer 15

Replikationen: Ja
Populationswachstum: Positiv
Parasitismus: Nein

Question 16

Malware-Typ: Kaninchen/Bakterium

Answer 16

Malware, die sich möglichst schnell repliziert, um Ressourcen des Wirtssystems zu erschöpfen.

Question 17

Einordnung: Kaninchen/Bakterium

Answer 17

Replikationen: Ja
Populationswachstum: Positiv
Parasitismus: Nein

Question 18

Malware-Typ: Spyware

Answer 18

Malware, die ohne Einwilligung des Nutzers vertrauliche oder sensitive Daten vom Wirtssystem über das Netzwerk zu einem verborgenen Empfänger sendet. Spyware wird i.d.R. mit gutartiger Software gebündelt.

Question 19

Einordnung: Spyware

Answer 19

Replikationen: Nein
Populationswachstum: Keines
Parasitismus: Nein

Question 20

Einordnung: Adware

Answer 20

Replikationen: Nein
Populationswachstum: Keines
Parasitismus: Nein

Question 21

Malware-Typ: Adware

Answer 21

Marketingorientierte Spyware, die gelegentlich gezielte Werbung anzeigt, das Konsumprofil des Nutzers ermittelt und i.d.R. ohne Einwilligung des Nutzers über ein Netzwerk versendet.

Question 22

Malware-Typ: Zombie und Botnetz

Answer 22

Malware, die einem Angreifer bösartige Funktionalität über das Netzwerk fernsteuerbar zur Verfügung stellt, z.B. DoS-Verkehr erzeugen. Ein Verbund von Zombies, der vom Angreifer wie eine Einheit ferngesteuert werden kann, nennt man Botnetz

Question 23

Eigenschaften: Zombie und Botnetz

Answer 23

Replikationen: Nein
Populationswachstum: Keines
Parasitismus: Nein

Question 24

Definition: Infektionsvektoren (Viren)

Answer 24

Verschiedene Verbreitungsansätze. Multipartitie Viren nutzen mehrere Infektionsvektoren

Question 25

Definition: Auslöser (Viren)

Answer 25

Wie wird entschieden, ob die Nutzlast aktiv wird (optional)?

Question 26

Definition: Nutzlast (Viren)

Answer 26

Was tut der VIrus, außer sich zu verbreiten? (optional)

Question 27

Beispiele: Virus Targets (3)

Answer 27

1) Boot Sektor
2) Ausführbare Datei
3) Source-Code-Datei

Question 28

Vorgehensweise: Infektion des Boot-Sektors (4)

Answer 28

1) Originalen Bootblock kopieren und Überschreiben
2) Der originale Bootblock wird noch zum hochfahren des Systems vom Virus gebraucht
3) Da die saubere Blockallokation zu viel Platz im Bootblock kosten würde, wird die Kopie an fester Stelle gespeichert.
4) Jetzt erhält der Virus beim Bootvorgang die Kontrolle noch bevor das Betriebssystem und Anti-Virus-SW geladen werden.

Question 29

Gegenmaßnahme: Infektion des Boot-Sektors

Answer 29

Blockschutz im BIOS

Question 30

Vorgehensweise: Infektion von Dateien (3)

Answer 30

1) Der virus sucht nach aufsührbare Dateien oder Dokumente mit interpretierbarem Programmcode (Zieldateien genannt)
2) Der Virus fügt sich in die Datei ein bzw. verknüpft sich mit dieser
3) Virus erhält Kontrolle beim Ausführen der Datei bzw. des Programmcodes im Dokument

Question 31

Methoden: Infektionen von Dateiein (6)

Answer 31

1) Dateianfang überschreiben
2) Dateimitte überschreiben
3) Vollständig ersetzen
4) Einstreuen in ungenutze Füllbereiche (z.B. exe Dateien)
- Hier bleibt die Dateigröße aber immer unverändert
5) Vorhängen vor die Datei
6) Anhängen an die Datei

Question 32

Definition: Begleit-Viren

Answer 32

Hier trägt der Virus denselben Namen wie der ursprüngliche Wirt und wird vor dem Wirtsprogram aufgerufen. Der Virus selbst ruft danach das Wirtsprogramm auf und somit bleibt dieses Programm auch unverändert.

Question 33

Definition: Quell-Code Viren

Answer 33

Hier infiziert der Virus Quellcodes des Wirtsprogramms. Die infektionsstellle bliebt dennoch nicht offensichtlich, da der Virus erst beim kompilieren wirksam wird. Dadurch ist er auch unabhängig von der Hardware-Plattform

Question 34

Definition: Dokumenten-Viren

Answer 34

Jetzt infiziert der Virus spezifische, nicht-ausführbare Dokumente. Dennoch umfasst das Dokumentenformat eine Makrosprache, welcher von Applikationen die das Dokumentenformat verstehen, auch die Makrosprache interpretieren und ausführen können. Der Virus infiziert dann genau diese Makros. Mittlerweile wird der User bei den meisten Applikationen gefragt ob die Makros die enthalten sind ausgeführt werden sollen, was gegen diesen Virus schützt.

Question 35

Definition: Passive Erkennungsvermeidung

Answer 35

Dieser Begriff umfasst alle Maßnahmen von Viren so gut wie möglich ihre erkennung zu vermeiden. Dies wären insbesondere die Erkennung von Nutzer und Anti-Virus Programme

Question 36

Statische Passive Erkennungsvermeidung (3)

Answer 36

1) Dateigröße anpassen
2) Zeitstempel anpassen
3) Nicht-kryptographische Checksumme

Question 37

Dyanmische Passive Erkennungsvermeidung

Answer 37

Ursprüngliche Datei-/Bootblockmerkmale und -inhalte zur Laufzeit im Speicher dauerhaft vorhalten und bei I/O-Anfragen einspielen (vgl. Kernel-Rootkits)

Question 38

Verschlüsselungsarten für Viren (5)

Answer 38

1) Einfache Verschlüsselung
2) Statischer Schlüssel
3) Variabler Schlüssel
4) Substitution
5) Starke Verschlüsselung

Question 39

Verschlüsselung von Viren: Oligomorphie

Answer 39

Hier wird verschieden ausgewählt welcher Teil verschlüsselt wird und statisch Verschlüsselt - also erkennbar da er von einem Pool statischer Dekryptoren (ca. 30-100) zufällig gewählt wird.

Question 40

Verschlüsselung von Viren: Polymorphie

Answer 40

Jetzt ist zwar der Pool von Dekryptoren größer (milliarden), aber trotzdem erkennbar da sie statisch sind. Dennoch muss darauf geachtet werden das sich der Virus nicht überinfektiert (also zu schnell verbreitet). Dies erfolgt über verdeckte Kanäle wie ungenutzte Dateibereiche.

Question 41

Definition: Code-Mutation/-Obfusication

Answer 41

Die randomisierte Ersetzung von Code-Sequenz durch andere, Äquivalente Code-Sequenz

Question 42

Schritte: Viren-Bekämpfung (3)

Answer 42

1) Erkennung
2) Identifikation
3) Desinfektion

Question 43

Statische Virenerkennung

Answer 43

Dieser Ansatz erforder nicht, dass der Virus-Code ausgeführt wird. Es kann über Viren-Scanner erfolgen der entweder auf Anfrage des Nutzers gestartet wird oder beim kontinuierlichem Laufen im Hintergrund.

Question 44

Idee der Integritätsprüfung

Answer 44

Viren verändern Daten, um sich zu verbreiten. Unautorisierte Datenänderungen geben Hinweis auf den Virus. Die Datenbasis für den späteren Vergelich muss auf einen virusfreien System erzeugt werden.

Question 45

Ansätze: Datenintegritätsverifikation (3)

Answer 45

1) Periodische Prüfung
2) Selbstprüfung vor Programmstart, insbesondere Anti-Viren-SW
3) Prüfung vor Ausführung, z.B: durch Betriebssystem

Question 46

Vorteile: Datenintegritätsverifikation (2)

Answer 46

1) Hohe Performanz

2) Erkennt bekannte und unbekannte VIren

Question 47

Nachteile: Datenintegritätsverifikation (3)

Answer 47

1) Aufwendige Wartung, insbesondere in großen Rechnerverbünden
2) Falsche Alarme
3) Keine Identifikation entdeckter Viren –> Desinfektion nicht unterstützt

Question 48

Definition: Dynamische Erkennung von Viren

Answer 48

Diese Erkennungsmethode erfordert, dass der Virus-Code ausgeführt wird.

Question 49

Definition: Anomalieerkennung

Answer 49

Spezifizieren erlaubter Aktivitäten, davon abweichende Aktivität ist eine Anomalie

Question 50

Forschungsansatz von Forrest (Anomalieerkennung)

Answer 50

In der Trainingsphase:
Aktivitätsfolgen von nicht-infiziertem Programmen erheben; Berechnung von Signaturen fester Länge, die diese Aktivitätsfolgen abdecken.

Zur Laufzeit:
Überschreitet die beobachtete Anzahl von Aktivitätsfolgen mit der SIgnaturlänge, die nicht in der Signatur-Datenbank enthalten sind, einen Schwellwert, ist eine Anomalie aufgetreten

Question 51

Vorteil: Anomalieerkennung mittels Forrest

Answer 51

Erkennt bekannte und unbekannte Viren/Angriffe

Question 52

Nachteile: Anomalieerkennung mittels Forrest (2)

Answer 52

1) Training und Einstellen des Verfahrens für jedes zu prüfende Programm notwendig (Signaturlänge, Schwellenwert)
2) Keine Identifikation erkannter Viren –> Desinfektion nicht unterstützt.

Question 53

Definition: Generische Entschlüsselung

Answer 53

Virus entschlüsselt sich zur Laufzeit. Erkennung der vollständigen Entschlüsselung z.B. bei Ausführen zuvor veränderter Daten. Nach Entschlüsselung statisch scannen

Question 54

Vorteile: Emulation (2)

Answer 54

1) Virus befällt nur emulierte Umgebung, Echtsystem bleibt sauber.
2) Erkennt bekannte und unbekannte, sowie polymorphe Viren

Question 55

Nachteile: Emulation (4)

Answer 55

1) Hoher Ressourcenaufwand
2) Unerkennbare Emulation schwierig zu implementieren
3) Keine Identifikation erkannter Viren –> Desinfektion nicht unterstützt.
4) Virus kann während der Emulation inaktiv bleiben

Question 56

Definition: Aktive Erkennungsvermeidung

Answer 56

Methoden von Malware sich gezielt gegen Anti-Viren Programme zu wehren und somit aktive Analyse der Malware zu erschweren

Question 57

Ziele: Aktive Erkennungsvermeidung (3)

Answer 57

1) Funktionsfähigkeit der Anti-Viren-SW unterbinden/herabsetzen
2) Virenanalyse des Anti-Viren-SW-Herstellers erschweren/verzögern
3) Entdeckung vermeiden, indem Wissen über Funktionsweise der Anti-Viren-SW ausgenutzt wird

Question 58

Definition: Retroviren

Answer 58

Hier wird vorhandene Anti-Viren-SW aktiv abgeschaltet oder behindert. Der Virus beendet entweder die Prozesse vom Antivirus oder schaltet es dauerhaft ab durch Modifikation im Sekundärspeicher. Es kann sogar die Host-Datei manipuliert werden um aktualisierungen zur Antivirus SW zu verhindern

Question 59

Nachteil: Retroviren

Answer 59

Leicht vom Nutzer zu erkennen.

Question 60

Ansätze: Emulation umgehen, erkennen oder stören (7)

Answer 60

1) Aussitzen
2) Unnötige Berechnungen ausführen bis Emulator abbricht wenn die Abbruchheursitik bekannt ist.
3) Falls Emulator Ergebnisse vorheriger Läufe gecached sind mit geringer Wahrscheinlichkeit infizieren
4) Dynamische Heuristieken vermeiden
5) Verteilen des Dekryptors
6) Mehrfaches Entschlüsseln des Virus
7) Grenzen testen

Question 61

Debugging Erkennen (Aktive Erkennungsvermeidung)

Answer 61

Die interrupts vom CPU erkennen und unverdächtigen Code ausführen

Question 62

Gemeinsamkeit mit Viren: Würmer

Answer 62

1) Verschiedene Infektionsvektoren, Multipartite Würmer
2) Tarnmechanismen
3) Anti-Anti-Viren-SW-Methoden

Question 63

Gegenmaßnahmen: Präventiv gegen Würmer (5)

Answer 63

1) Aktuelle Fehlerbeseitigung durch Patchen
2) Maßnahmen gegen Exploits
3) Verkehrsnormalisierung zur Unterstützung von Netz-IDS
4) Ungenutzte Dienste deaktivieren / filtern
5) Ausgangsverkehr

Question 64

Gegenmaßnahmen: Reaktiv gegen Würmer (5)

Answer 64

1) Aufmerksame Administratoren
2) Verbindungsrate bei Ziel-Auffächerung drosseln
3) Anti-Viren-SW prüft nicht alle Wurm-Infektionsvektoren
4) Intrusion-Detection and Response
5) Honeypots

Question 65

Infektionsvektoren: Wurm (4)

Answer 65

1) Vertrauensbeziehungen ausnutzen
2) Identische Passwäörter von Nutzern auf verschiedenen Rechnern
3) Puffer-Überlauf-Exploit für VAX-Plattform
4) Debug-Hintertür

Question 66

Tarnmaßnahmen: Wurm (6)

Answer 66

1) Datei- und Prozessname sh
2) Kommandoparameter löschen
3) Temporäre Dateiein löschen
4) Speicherabzüge verhindern
5) Strings, Wurm-Objektcode und Lader-Quellcode chiffriert
6) Prozess periodisch erneuern

Question 67

Allgemeine Empfehlungen gegen Malware (5)

Answer 67

1) Verlagern von sensiblen Daten auf externe Speichermedien
2) Sensible Daten verschlüsseln
3) Rechte minimieren
4) Integrität von Software und Softwareupdates durch digitale Signatur überprüfen
5) Code-Inspektion (soweit möglich)