Malware

Question 1

Definition Malware:

Answer 1

Software mit bösartiger Wirkung

Question 2

Einfache Einordnung von Malware:

Answer 2

• Replikation
• Populationswachstum
• Parasitismus

Question 3

Replikation (Einordnung von Malware):

Answer 3

• Malware versucht sich aktiv zu verbreiten (z.B. Herstellen von Kopien oder neuen Instanzen)

Question 4

Populationswachstum (Einordnung von Malware):

Answer 4

• beschreibt die Veränderung der Anzahl der Malware-Instanzen aufgrund von Replikation

Question 5

Parasitismus: (Einordnung von Malware):

Answer 5

• Malware benötigt einen Wirt um zu existieren
• z.B. Bootblock-Code, Source-Code

Question 6

Malware-Typ: logic Bomb

Answer 6

• Malware bestehend aus
  
  • Nutzlast: beliebig böswillige Aktivität
  • Auslöser: boolesche Bedingung, die entscheidet, ob die Nutzöast ausgeführt wird
• i.d.R. klein und schwer auffindbar im Source-Code verborgen
  
  • Replikation: nein
  • Populationswachstum: nein
  • Parasitismus: möglich

Question 7

Malware-Typ, Trojanisches Pferd:

Answer 7

• Programm, dass eine vom Nutzer gewünschte Funktionalität besitzt, sowie eine vom Benutzer nicht gewünschhte Funktionalität
• wird verborgen und ohne Einwilligung des Nutzers ausgeführt
  
  • Replikation: nein
  • Populationswachstum: nein
  • Parasitismus: ja

Question 8

Malware-Typ, Hintertür:

Answer 8

• ist speziell dafür vorgesehen die Sicherheitsmaßnahmen des Systems zu umgehen auf dem sie existiert
• Hintertüren könne in Programme eingefügt sein (Trojanisches Pferd) oder eigenständig existieren
  
  • Replikation: nein
  • Populationswachstum: nein
  • Parasitismus: möglich

Question 9

Malware-Typ, Virus:

Answer 9

• Malware die sicg beim Ausführen verbreitet, indem sie sich selbst in Wirten einnistet, diese also infiziert
• initiale Infektion von einem Dropper bezeichnet (trojaninsches Pferd)
  
  • Replikation: ja
  • Populationswachstum: positiv
  • Parasitismus: ja

Question 10

Malware-Typ, Wurm:

Answer 10

• Malware, die sich beim Ausführen verbreitet, indem sie sich über ein netzwerk in Wirtssystemen einnistet
• Wurm existiert eigenständig als Wirtssystem
  
  • Replikation: ja
  • Populationswachstum: positiv
  • Parasitismus: nein

Question 11

Malware Typ Kaninchen:

Answer 11

• Malware die sich möglichst schnell repliziert, um Ressourcen des Wirtssystems zu erschöpfen
  
  • Replikation: ja
  • Populationswachstum: positiv
  • Parasitismus: nein

Question 12

Malware-Typ, Spyware:

Answer 12

• Malware, die ohne Einwilligung des Nutzers vertrauliche oder sensitive Daten vom Wirtssystem über das Netzwerk zu einem verborgenen Empfänger sendet
• i.d.R. mit gutartiger Software gebündelt
  
  • Replikation: nein
  • Populationswachstum: keines
  • Parasitismus: nein

Question 13

Malware Typ, Adware:

Answer 13

• Marketingorientierte Spyware, die gelegentlich gezielte Werbung anzeigt
• das Konsumprofil des Nutzers ermittelt und ohne Einwilligung des Nutzers über ein Netzwerk versendet
  
  • Replikation: nein
  • Populationswachstum: keines
  • Parasitismus: nein

Question 14

Malware-Typ, Zombie und Botnetz:

Answer 14

• Malware die einem Angreifer bösartige Funktionalität über das Netzwerk fernsteuerbar zur Verfügung stellt (z.B. Spam versenden)
• Verbund von Zombies , der vom Angreifer wie eine Einheit ferngesteuert werden kann => Botnetz
  
  • Replikation: nein
  • Populationswachstum: nein
  • Parasitismus: nein

Question 15

Grundlegender Aufbau von Viren:

Answer 15

• Infektionsmechanismus: wie verbreitet sich ein Virus?
  
  • Infektionsvektoren: verschiedene Verbreitungsansätze
    multipartite Viren nutzen mehr Infektionsvektoren
• Auslöser: (optional) wie wird entschieden ob die Nutzlast aktiv wird?
• Nutzlast: was tut der Virus noch, außer sich zu verbreiten? (Schadensfunktion)

Question 16

Grob vereinfachter Bootvorgang:

Answer 16

1. Computer anschalten
2. Primärboot: BIOS startet, Selbsttest, Geräteerkennung und -initialisierung, Bootgerät identifizieren, Bootblock lesen und ausführen
3. Sekundärboot: Bootblickprogramm lädt Code nach, der Dateisysteme lesen kann und führt diesen aus
4. Betriebssystem wird geladen und ausgeführt

Question 17

Infektion des Boot-Sektors:

Answer 17

• Virus (V) kopiert originalen Bootblock (Bb) und überschreibt den Bootblock
• V benötigt originalen bb zum weiteren Hochfahren des Systems => Kopie wird an fester Stelle gespeichert
• Virus erhält Kontrolle beim Bootvorgang noch bevor das Betriebssystem und Anti-Vires SW geladen werden
• Gegenmaßnahme: Blockschutz im BIOS

Question 18

Problem bei der Infektion des Boot-Sektors:

Answer 18

• Mehrfachinfektion durch Viren, die den Bootblock „retten“ -> Kopie des originalen Bootblocks wird überschrieben

Question 19

Infektion von Dateien:

Answer 19

• Zieldateien: ausführbare Dateien, Dokumente mit interpretierbarem Code
• Virus fügt sich an Datei an, bzw. verknüpft sich mit dieser
• Virus erhält Kontrolle beim Ausführen der Datei bzw des Programmcodes im Dokument

Question 20

(Partielles) Überschreiben der Datei:

Answer 20

• Überschreibender Virus i.d.R. sehr kurz und ohne Nutzlast
• Dateianfang überschrieben: Dateigröße (Dg) unverändert, aber Wirtsprogramm zerstört
• in der Mitte überschrieben: Dateigröße unverändert => Wirtsprogramm läuft ggf anfangs, ist dennoch defekt
• Vollständig ersetzt: leicht entdeckbar durch identische Dg

Question 21

Vorhängen vor die Datei:

Answer 21

• Bei Batch/Shell-Dateien praktikabel.
• Bei Binärdateien i.d.R. zu aufwendig (Relokation - Verschiebung).
• Veränderte Dateigröße

Question 22

Anhängen an die Datei:

Answer 22

• Bei Binärdateien häufigster Fall.
• Veränderte Dateigröße

Question 23

Einstreuuung in ungenutzte Füllbereiche:

Answer 23

• Dateigröße unverändert.
• Wirtsprogramm läuft korrekt
• nur bei Windwossystemen

Question 24

Begleit-Viren:

Answer 24

• Virus trägt denselben Namen wie der ursprüngliche Wirt.
• Virus wird vor dem Wirtsprogramm aufgerufen:
  
  • Liegt in früher durchsuchtem Pfad •
  • Wirt umbenannt
  • Overlay-Icon auf grafischer Oberfläche
• Virus ruft Wirtsprogramm auf.
• Wirtsprogramm bleibt unverändert

Question 25

Quellcode Viren:

Answer 25

• Virus infiziert Quellcodes des Wirtsprogramms.
• Infektionsstelle des Quellcodes ist nicht offensichtlich.
• Wirtsprogramm muss erst kompiliert werden, bevor der Virus wirksam wird.
• Virus ist unabhängig von der Hardware-Plattform

Question 26

Dokumenten Viren (Macro Issues):

Answer 26

• Virus infiziert spezifische, nicht-ausführbare Dokumente.
• Das Dokumentenformat umfasst eine interpretierbare Programmiersprache (Makrosprache).
• Applikationen, die das Dokumentenformat verstehen, interpretieren den enthaltenen Programmiercode.
• Diverse Applikationen führen bestimmte Makros bei spezifischen Funktionen aus (Dokument neu, öffnen, schließen, speichern, …).
• Der Virus infiziert diese Makros

Question 27

passive Erkennungsvermeidung:

Answer 27

• Viren wollen unerkannt bleiben um sich in Ruhe verbreiten zu können
• zwei potentielle Erkenner:
  
  • Benutzer (sieht Symptome von Infektion)
  • Anti-Virus Programme: Wiedererkennbare Eigenschaften des Viruscodes

Question 28

spuren verwischen:

Answer 28

• statisch: Dateimerkmale anpassen
  
  • Dateigröße, Zeitstempel, nicht kryptpgraphische Checksumme
• dynamisch:
  
  • ursprüngliche Datei-/ Bootblockmerkmale und Inhalte im Speicher dauerhaft vorhalten und bei I/O-Anfragen einspielen

Question 29

Verschlüsselung Polymorphie:

Answer 29

• Einfache Verschlüsselung: kein Schlüssel, inkrementieren, dekrementieren, rotieren
• statischer Schlüssel: kurzer Schlüssel, parametrisierte umkehrbare Operationen
• variabler Schlüssel: kurzer Schlüssel wird in jeder Iteration deterministisch verändert
• Substitution
• Starke Verschlüsselung: langer Schlüssel => z.B. AES

Question 30

Oligomorphie:

Answer 30

• verschlüsselter Teil stets verschieden
• Dekryptor statisch (zufällig ausgewählt) => erkennbar

Question 31

Polymorphie:

Answer 31

• statische Dekryptoren => erkennbar
  
  • Mutation des Dekryptor-Codes erlaubt große Zahl an Varianten
• Selbsterkennung zur Verhinderung von Überinfektion => muss unabhängig vom Viruscode funktionieren

Question 32

Code-Mutation/-Obfuscation:

Answer 32

• Idee: randomisierte Ersetzung von Code Sequenz durch andere, äquivalente Code-Sequenz:
• => erschweren/ verhindern von Reverse Engineering

Question 33

12 Beispiel Transformationen:

Answer 33

• äquivalente Befehle
• äquivalente Befehlssequenzen
• Befehlsumordnung
• Umbenennung von Registern und variablen
• Datenumordnung
• Spaghettifizierung
• unnötige Befehle (junk Code)
• Code Erneuerung zur Laufzeit
• Nebenläufigkeit
• Code Interpretation
• Ilining/ Outlining
• Interleaving

Question 34

statische Virus-Erkennung durch Scanner:

Answer 34

• statische Erkennung erfordert nicht, dass der Virus-Code ausgeführt wird
• Viren Scanner: sucht Datenstrom nach Signaturen ab
• auf Anfrage: vom Nutzer explizit gestartet
• bei Zugriff: läufz im Hintergrund und durchsucht Daten beim Zugriff auf die Daten

Question 35

statische Virus-Erkennung durch Heuristiken:

Answer 35

• Statische Heuristik: sucht nach Code der sich Virusähnlich verhält
• Datensammlung: sucht Anzeichen für oder gegen Virus
  
  • einfache und komplexe Heuristiken
• Vorteil: erkennt bekannte und unbekannte Viren
• Nachteil: viele false positives

Question 36

Verifikation der Datenintegrität:

Answer 36

• Idee der Integrirätsprüfung: Viren verändern Daten um sich zu verbreiten
  
  • => unautorisierte Datenänderung sind Indix für Virus
• Vorteil: hohe Performance, erkennt bekannte und unbeaknnte Viren
• Nachteil: aufwendige Wartung

Question 37

dynamiasche Virus-Erkennng durch Monitore:

Answer 37

• erfordert, dass der Code ausgeführt wird => Verhalten wird in Echtzeit nach Virus ähnlichem Verhalten hin untersucht
• Monitor:abstarhiert I/O und Systemaufrufe, da diese typisch sind für Virus

Question 38

Grobkörnige Modellierung:

Answer 38

• sucht nur Oberflächlich => viele False positives
• Signaturen (wie Schablonen) sind kurze Zeichenfolgen, die Virus-Aktivität beschreiben

Question 39

Missbrauchserkennung Arten:

Answer 39

• grobkörnig
• feinkörnig
• Beispielsigantur

Question 40

Feinkörnige Modellierung:

Answer 40

• weniger oberflächlich
• erlaubt Modellierung von Merkmalen bzw. Parametern der Aktivitäten

Question 41

Anomalieerkennung:

Answer 41

• Spezifizieren erlaubter Aktivitäten, davon abweichende Aktivität ist eine Anomalie
• Annahme: eine Anomalie ist ein Virus (allgemeiner: Angriff)
• Vorteil: erkennt bekannte und unbekannte Viren/Angriffe

Question 42

Emulation:

Answer 42

• ausgewertet werden die vom Emulator zur Laufzeit gelieferte Beobachtungsdaten
• Vorteil: Virus befällt nur emulierte Umgebung, Echtsystem bleibt sauber. Erkennt bekannte und unbekannte, sowie polymorphe Viren
• Betriebssystem-Emulation: nur begrenzter und ergänzter Ausschnitt des Betriebssystems
• Hardware-Emulation: von Viren benötigte Hardware, z.B. Timer

Question 43

aktive Erkennungsvermeidung:

Answer 43

• Methoden von Malware sich gezielt gegen Anti-Viren Programme zu wehren.
• Methoden um die aktive Analyse der Malware zu erschweren

Question 44

Methoden von Viren im Kampf gegen Anti-Viren-SW:

Answer 44

Ziele:

1. Funktionsfähigkeit der Anti-Viren-SW unterbinden/herabsetzen.
2. Virenanalyse des Anti-Viren-SW-Herstellers erschweren/verzögern.
3. Entdeckung vermeiden, indem Wissen über Funktionsweise der Anti-Viren-SW ausgenutzt wird.

Question 45

Retroviren:

Answer 45

• Aktives abschalten/behindern vorhandener Anti-Viren-SW

Question 46

Verscjleierung des Einsprungs in den Viruscode:

Answer 46

• Anti-Viren-Heuristik erkennt geringen Abstand zwischen Dateiende und Einsprung zum Programmstart
• Virus wählt per Heuristik später ausgeführten Wirtscode und ersetzt durch Sprung zum Viruscode

Question 47

Emulationen umgehen:

Answer 47

• Aussitzen
• dynamische Heuristiken vermeiden
• Verteilen des Dekryptors
• merhrfaches Entschlüsseln
• Grenzen Testen

Question 48

Reverse enginnering vermeiden/ Debugging erkennen:

Answer 48

• Virus ist aufgefallen und isoliert => Reverse Engineering verzögern => Debugging-Vorgang erkennen und unverdächtigen Code ausführen

Question 49

Würmer:

Answer 49

• Gemeinsamkeiten mit Viren:
  
  • verschiedene Infektionsvektoren, Multipartite Würmer.
  • Tarnmechanismen
  • Anti-Anti-Viren-SW-Methoden.
• Andere Infektionsvektoren:
  
  • Verwundbarkeit ausnutzen (Exploit).
  • Überredung / Social Engineering (Email-Anhang öffnen, IM-Datei öffnen).
  • Vertrauensbeziehungen ausnutzen.

Question 51

Gegenmaßnahmen:

Answer 51

• Präventive Maßnahmen:
  
  • Verkehrsnormalisierung zur Unterstützung von Netz-IDS.
  • Ungenutzte Dienste deaktivieren / filtern.
• Reaktive Maßnahmen:
  
  • Aufmerksame Administratoren. •
  • Anti-Viren-SW prüft nicht alle Wurm-Infektionsvektoren.
  • Intrusion-Detection and Response,
• Honeypots: Einfangen von Würmern für Analyse

Question 52

Allgemeine Empfehlung für den Kampf gegen Viren und Würmer:

Answer 52

• Verlagern von sensiblen Daten auf externe Speichermedien
• Sensible Daten verschlüsseln
• Rechte minimieren (mit welchen Rechten muss ein Programm/Prozess wirklich laufen, etc.)
• Integrität von Software und Softwareupdates durch digitale Signatur überprüfen
• Code-Inspektion (soweit möglich