Malware

Question 1

vernetztes System

Answer 1

nicht selbstreplizierend: Hostile, Applets, Hoaxes

selbstreplizierend: Würmer

Question 2

Einzelsystem

Answer 2

nicht selbstreplizierend: Trojaner, Backdoors

selbstreplizierend: Viren

Question 3

Virus

Answer 3

verbreitet sich meist durch auführen von bereits befallenem Code
Bootviren(Festplatten), Makroviren(.doc, .xls), Dateiviren(BS), Skriptviren(.js, .vbs)

Question 4

Wurm

Answer 4

verbreitet sich meist selbstständig durch ausnutzen von Sicherheitslücken
Exploit(Code, der Schwachstelle ausnutzt), Patch(Korrekturauslieferung, um Sicherheitslücken zu schließen)

Question 5

Trojaner

Answer 5

verbreitet sich gar nicht von selber, bosartiger Teil “von Hand” hinzugefügt
Verbreitung: Email Anhang, Drive-By Downloads, USB

Question 6

Wie funktioniert ein Virus?

Answer 6

• Suchfunktion (suchen von zu befallenen Dateien)
• Infektionsroutine ( befallen von 1 oder mehreren Opferdatein
• Payload ( Schadcode, den der Virus mit sich bringt bzw. ausführt)
• Trigger (Bedingung/Gegebenheit, bei welcher der Virus seine Payload ausführt)

Question 7

Techniken (Virus)

Answer 7

Polyorphismus, Verschlüsselung

Question 8

Polyorphismus (Virus)

Answer 8

Der Virus ändert seinen Code bei jeder Infektion leicht

• hinzufügen von NOP Kommandos
• ändern der Reihenfolge von SubRoutinen im Code

Question 9

Verschlüsselung (Virus)

Answer 9

Der Virus ist verschlüsselt + entschlüsselt sichc bei Ausführung als erstes, bevor der eigentliche Viruscode ausgeführt wird.

Question 10

speicherresidente Viren

Answer 10

= bleiben im Speicher aktiv und befallen weitere Dateien

Question 11

Interrupts in Betriebssystemen

Answer 11

= Unterbrechung des laufenden Programms durch BS
- Interrupt Vector Table (IVT): Tabelle im Hauptspeicher, in der die Adressen der eigentlichen Interrupt Routinen im Hauptspeicher eingetragen sind

Question 12

Interrupt Hooking

Answer 12

= schreibt sich in Hauptspeicher

• “hakt” sich in bestimmten Interrupt ein → überschreiben Adressen im IVT
• bei Aktivierung des Interrupt, schaut BS im IVT nach Adresse führt Code des Virus dar

Question 13

Beispiele Virus

Answer 13

Ambulance: zählt zähler hoch, letzte 3 bits 110
Michelangelo: Datum = 06.03 überschreibt erst 100 Sketoren von HD
Anna Kournikova: Doppelklick auf Anhang →versand emails

Question 14

Wie funktioniert ein Wurm?

Answer 14

• baut Verbindung zu neuem Zielrechner auf
• versucht auf Port Lücke auszunutzen
• Erfolg: Wurm kopiert sich auf Rechner
  →braucht kein Wirtsprogramm

Question 15

Beispiele Wurm

Answer 15

Morris Worm: Rechner wird mit der Zeit langsam
Code Red 1 + 2
SQL Slammer
Blaster: Distributed DoS

Question 16

Wie funktioniert ein Trojaner?

Answer 16

Trapdoor/Backdoor: Umgehung Zugriffssicherung Zugang zum Computer
Rootkit: SW-Werkzeuge, die nach EInbruch in SW-System auf System installiert wird, um zukünftige Logins zu verbergen und verstecken
Keylogger: zeichnet Tastatureingaben des Benutzers auf + sendet an Autor

Question 17

Beispiele Trojaner

Answer 17

Locky: Verschlüsselung aller Dateien mit AES → Lösegeld
Stuxnet: via USB, verbreitet sich im Netzwerk

Question 18

Erkennung / Schutz vor Malware

Answer 18

• Anti Virus / Malware SW: findet Malware durch Scannen von FIles / Dateien
• Firewalls: blockiert bestimmten Verkehr anhand Richtlinien
• Intrusion Detection Systems: überwacht Aktivitäten und alarmiert falls etwas verdächtig vorkommt

Question 19

Anti-Virus SW:

Answer 19

On-demand: scannt Files und Dateien durch aufruf

On-Access: läuft im Hintergrunf, wennsie aufgerufen werden

Question 20

Firewalls

Answer 20

Packet Screen / Screening Router: erlaubt bzw. blockiert Pakete anhand des Headers
Proxy: Gateway, der die Datenpakete der Internet-Dienste (HTTP, FTP, …) zwischenspeichert. → inhaltsbezogene Filterung der Daten
Application Layer Gateway: Filtert Austausch

Question 21

Intrusion Detection Systems (IDS)

Answer 21

= aktive Überwachung von Computersystemen/-netzen
Methoden und Angriffserkennung:
-Anomalie durch Protokollanalyse, statistischer Daten
- Erkennung Angriffsmuster
BSP: SNORT

Question 22

Buffer Overflow

Answer 22

Programmiersprache C: low Level Sprache, in Binärcode

no Memory → gehen direkt in RAM

Question 23

Memory Management

Stack, leer, Heap, Code

Answer 23

bei heutiger x86er Architektur arbeitet jedes Programm in einem virtuellen Adressraum, das die MMU dem physikalischen Speicher zugeordnet. virtueller Adressraum in 3 Bereiche eingeteilt

Question 24

Stack

Answer 24

Der Stack fängt am oberen Ende des Speichers (Bsp: 0xFFFFFFFF) an und wächst nach unten in Richtung 0x00000000.
Wenn etwas hinzugefügt wird, dann wird der Stapel erhöht und andersrum. Der Stackpointer (ESP) wird dabei immer auf die letzte Adresse des Stacks gelegt

Question 25

Heap

Answer 25

Der Heap wird dazu verwendet um dynamische Daten zu verwalten. Im Heap müssen Speicherbereiche dynamisch angefordert werden. Der Heap wird von Funktionen wie malloc() und realloc() oder von new() benutzt und mit free() bzw delete() wieder freigegeben.

Question 26

Code

Answer 26

Hier wird der Code, der ausgeführt wird, gelagert