Angriffe Entdecken

Question 1

Welche Arten von indikatoren gibt es?

Answer 1

Es gibt zwei Sorten von Indikatoren:
• Indikatoren fur einen Angriff ¨
• Indikatoren fur eine Kompromittierung (Ungewohnte Services ¨
die laufen, Ungewollte File¨anderungen, ungewollte Logins)
Es ist grunds¨atzlich nicht klar, ab wann man von einem Indikator
fur einen Angriff spricht. Zudem k ¨ ¨onnen die Indikatoren leicht uber- ¨
schneiden: Anderung in der Leistung ¨ → DoS-Angriff oder → Kompromittierung weil schneller, da Sicherheitsfeatures ausser Kraft.

Question 2

Beispiele für Indikation für einen Angriff

Answer 2

Versagen eines Dienstes oder Zerst¨orung eines Assets
• Ge¨anderte Leistung eines Subsystems
• Ge¨andertes Verhalten eines Systems
• Reject von Firewall
Ein Indikator alleine ist kein Beweis, dass ein Angriff stattfindet.
Dafur braucht es eine vertiefte Analyse.

Question 3

Beispiele für Indikation für eine Komprimierung?

Answer 3

• Andere Zust¨ande eines Systems → Neue Files, Neue Filerechte
• Ge¨anderte Leistung eines Subsystems → h¨ohere CPU, IO-Last
oder weniger RAM
• Ge¨andertes Verhalten eines Systems
• Wert¨anderung der Assets durch externe Einflusse ¨ → Aufgrund
geleakter Informationen kann die Konkurrenz schneller mitziehen
IOCs sind immer reaktiv. Der Angriff ist vielleicht bereits in der
n¨achsten Phase wenn Indikator festgestellt wird.

Question 4

Mit was kann man Angriffe monitoren?

Answer 4

Monitoring erfasst typischerweise sowohl IOC als auch IOA.
Typische IOAs:
• Logs → Abnormale Aktivit¨aten (Logfiles werden Zeilen fur Zei- ¨
len gelesen und kategorisiert, falls solche Patterns nicht mehr
stimmen haben wir eine Anomalie.) Hilft der Person, die solche
Aktivit¨aten uberwachen muss, indem es vorsortiert und filtert. ¨
Werden zuerst zentralisiert uber einen Logcollector: ¨
– So werden systemubergreifende Ph ¨ ¨anomene sichtbar
– Logdaten k¨onnen nicht gel¨oscht oder manipuliert werden,
wenn kompromittiert
• Fehlgeschlagene Logins → Bruteforce-Attacke
Nicht alle IOAs k¨onnen vie Logs entdeckt werden.
Typische IOCs:
• Vorhandene Files mit SUID-Flags (Files die mit Rechten des
Files laufen und nicht mit den Rechten des Users)
• Treiber, deren Prufsumme unbekannt ist. ¨ → File Integrity Monitor checken
• Files die mit sehr hohen Privilegien laufen

Question 5

Was ist ein IDS? Intrusion detection system?

Answer 5

IDS untersucht Informationsquelle nach IOCs und IOAs typischerweise als Echzeitpaketsniffer oder Logananalysator. Wenn Einbruche ¨
noch verhindert werden k¨onnen, spricht man von einem Intrusion Prevention System (IPS). → Unified Thread Management (UTM) Funktionieren gut fur bekannte Angriffe wie: ¨
• Cross-site attacks
• SQL injections
Funktionieren schlecht bei unbekannten Angriffen.

Question 6

Was dienen Honeypots?

Answer 6

Ein Honeypot ist ein System oder Dienst, der fur einen Angreifer at- ¨
traktiv aussehen soll, aber nicht produktiv genutzt wird. Aktivit¨at
darauf ist verd¨achtig. E.g. ein Fileserver mit dem Namen Very secure
topsecret server (funktioniert sehr gut bei Skript-Kiddies). Bei Zugriff wird dann alles geloggt, inklusive IP-Adressen. (IT-Mausefalle).
Businessmodell der Sicherheitsfirma, die dann einen Proxy verkauft,
der all diese Zugriffe blockt. Anderes Beispiel: offener SSH-Server ins
Netz stellen. Sehr hilfreich, um proaktiv im Unternehmen vorzugehen:
Interner Honeypot, der alle verd¨achtigen Systeme sperrt (Mitarbeiter
ist nicht b¨ose, sondern hat sehr wahrscheinlich ein Trojaner eingefangen). Antispam-Mail Vorgehen: Honeypotadresse einfach im Internet
in einschl¨agigen Foren verteilen. Alle Zugriffsmailadressen werden auf
die Spamliste gesetzt.
Honeypots erlauben die Interessen des Angreifers zu klassifizieren.

Question 7

Was ist ein Tarpit stikcy honey pot

Answer 7

Honeypots, die Angreifer bei Laune halten. Bsp: Bot erkennen, indem
”Klick/Stelle”, die nur von Bots gefunden werden k¨onnen, platziert
werden. Wie bei Laune halten? Immer wieder neue Emailadressen erfinden, so dass der Bot 3 Tage lang kreist und am Schluss quasi nur
falsche Adressen geharvestet hat.
Geht nicht nur auf Harvester-Level, sondern auch auf IP-Level fur ¨
Hacker, die einfach mal das Web scannen. (Reagiert nur auf ping und
nicht mehr.)
SMTP-Tarpit: Was haben ein SMTP-Server und ein iPhone gemeinsam? Pin-Eingabe wird bei falschen Eingaben immer verl¨angert.
Das Server Greeting wird verz¨ogert, um die Kosten fur das Versen- ¨
den von Spam zu erh¨ohen. Erneut Nachricht eingeben, Konnte nicht
gesendet werden, weil falsche Zieladresse (Angreifer merkt es nicht,
weil es so aussieht als ob er einfach Pech hat). → Greylisting ist eine
subtile Form davon. Hilft jedoch nicht bei Botnetz, da dann einfach
der n¨achste Bot genommen wird.
Recap: Firewall hilft nicht bei DDOS-Attacke, da Firewall erst nach
der Leitung kommt und bei DDOS ist die Leitung dicht. Acamei ist
gr¨oster IT-Provider, der seinen Verkehr filtert und versucht so umzuleiten, dass seine Leitungen nicht verstopfen. (Cloud-Shielding Anbieter

Question 8

Was war das Simulierte Wasserwerk des TÜV Süd?

Answer 8

Honeynet bestand aus Firewall mit Loginseite des Administrators und
Emailadresse bei Problemen mit der Firewall. Ganz traditionelle Phishingversuche wurden registiert, doch es gab auch komplexe Angriffe,
die an der Firewall vorbeikamen. Angreifer, die durchkamen haben gezielt Regler der mechanischen Komponenten so ver¨andert, dass diese
uberlasten. (Also viel mehr als ein Script-Kiddie). Ventil so viel mal ¨
ge¨offnet und geschlossen bis es durchgebrannt ist (Spule konsumiert
am meisten beim Einschalten → im ms-Takt ein und ausschalten).
Aurora-Test bei Generatoren fur Wasserkraftwerke