Malware Flashcards
Welche Kategorien gibt es bei Malware?
Malware ist grunds¨atzlich alles, was dem Computer schadet. Malware
wird auf verschiedene Arten klassifiziert:
• Nach Infektions/Installationsweg: fruher: Bootsektorviren, ¨
Overwriteviren, heute Wurmer. ¨
• Nach Schadfunktion: Erpressung, Ransomware
• Nach gef¨ahrdetem Asset: Risikoansicht
Was ist der Unterschied zwischen Virus und Wurm?
Beide verbreiten sich autonom, d.h. ohne aktives Zutun von Dritten)
uber die Systeme. ¨
13.2.1 Virus
Wie in der Biologie: Ein Tr¨ager gibt den Virus weiter. Beispiel fur ¨
einen Tr¨ager: Worddokument. Beispiel: Bootsektorvirus.
13.2.2 Wurm
Eigenst¨andig, braucht keinen Tr¨ager, um sich weiterzuverbreiten. Beispiel: Christmas-Tree Wurm.
Wie kann man über Social Engineering Infizieren?
Die einfachste Form von Infektion erfolgt uber Social Engineering. ¨
Bsp. ”Bitte clicken sie hier, um ihren Ruckerstattungsbetrag abzu- ¨
rufen.” Dies passiert typischerweise uber Email, Pop-Ups oder via ¨
Telefon. Die Malware wird durch den Benutzer direkt oder indirekt
auf das System gebracht.
Wie kann man über Social Trojaner Infizieren?
Trojaner sind Programme, die oberfl¨achlich betrachtet eine gewollte
Funktion erfullen, z.B. einen Film abspielen, Bildschirmschoner, aber ¨
im Hintergrund eine Schadfunktion ausfuhren. Erw ¨ unscht und gewollt ¨
vom Benutzer ist nur die Nutz- aber nicht die Schadfunktion. Beispiele:
• In Javascript eingebaute Bitcoinminer.
• Gratis-Apps, die Kontaktdaten abgreifen.
• Adblock Plus, welches Daten sammelt um diese an Werbefirmen
weiterverkauft.
• Google Search Bar wertet jeden Tastendruck aus und selbst
wenn die Anfrage noch nicht abgeschickt worden ist, wird diese
registriert.
Wie kann man über Social Drive by Infizieren?
Malware infiziert ein Zielsystem ohne gezielte Aktion eines Benutzers. NSA und Geheimdienste haben das Wissen und die Kapazit¨at
dafur. Attraktiv: News-Seiten, die viele Visits haben. Unattraktiv: ¨
Mein pers¨onlicher Blog.
Was ist ransomware
Ransomware verhindert den Zugriff auf Daten und verlangt typischerweise die Bezahlung einer L¨osegeldsumme bevor der Zugang wieder
freigeschaltet wird. Die Bezahlung erfolgt uber nicht verfolgbare Zahl- ¨
kan¨ale wie Bitcoin oder Bulletproof Paymentprovider. (z.B. UKash
oder MoneyPak). Ransomware ist nicht neu, Bitcoin hat ihnen aber
definitiv einen Boost gegeben.
Was sind Backdoors und Rootkits
Backdoors sind ublicherweise Programme, die es erlauben normale ¨
Sicherheitssperren ohne der ublichen Pr ¨ ufung der Rechte Meist via ¨
Telefonanruf: Bitte laden sie zur Sicherung ihres Systems folgendes
Programm herunter. Pl¨otzlich geht nichts mehr und man wird aufgefordert zu zahlen.
Wie kann man Malware verstecken?
Malware hat diverse Techniken um eine Entdeckung zu umgehen
(Tarnfunktion). Beispiel Bootsektor: Beim Aufruf des Sektors wird
einfach ein anderer nicht-infizierter Sektor ausgelesen. Virenscanner
findet nichts: Einige davon sind:
• Encoder und Laufzeitpacker komprimieren Virus und ver¨andern
damit die Signatur.
• Polymorphie: Virus wird simpel verschlusselt. Verschl ¨ usselung ¨
ver¨andert ebenfalls Signatur und zwar bei jeder Instanz. Sicherheitsforscher knacken daher zuerst die Verschlusselungsfunktion.
Stealth-Technologien: C-Program, welches den Schadcode in den
Tr¨ager einbaut. Array kann Tr¨ager sein. Dann muss nur die
L¨ange des Arrays ver¨andert werden, um den Tr¨ager zu wechseln.
• Payload-Download: Ransomware, Keylogger, Erpresser durch
Browserdaten, Bitcoin-Wallet klauen
Antivirenprogramme suchen den kleinsten gemeinsamen Nenner: Die
Tr¨agerprogramme. Mittels C-Programm kann die Erkennungsrate von
100 auf 20 Prozent reduziert werden.
Ist bitcoin anonym?
. Jede Transaktion kann ruckverfolgt werden, sobald Wallet-ID iden- ¨
tifziert worden ist. Mittels Blockchain-Explorer. Dumme Leute t¨atowieren sich ihre Bitcoinadresse.
Was ist grayware?
AKA: Possibly Unwanted Program (PUP) oder Possibly Unwanted Application (PUA). Typischerweise Programme, die mit einem
erwunschten Programm installiert werden und unerw ¨ unschte Seiten- ¨
effekte haben. Seiteneffekte sind beispielsweise reduzierte Leistung,
Werbeeinblendungen oder Ubermittlung zus ¨ ¨atzlicher Daten an Dritte. Beispiele: Registry-Cleaner, Speed-Optimizer, Browser-Addons.
Wie kann man Probleme Detektieren?
Signaturbasiert: Jeder Antivirenhersteller hat seine eigenen Signaturen, berechnet mittels RegEx.
• Verhaltensbasiert: Basiert auf Heuristik in der Cloud. Diese oder
jene Operation ist verd¨achtig. Bsp: Programme, die auf dem
Desktop gestartet werden, Anderung von Inhalten ohne daf ¨ ur ¨
registriert zu sein, bsp. Sketch will Worddokument ¨offnen, sehr
verd¨achtig.
• Statistikbasiert: Pl¨otzlich kommt uberall die gleiche Signatur ¨
vor. Entweder ok war Microsoft Patch oder ups k¨onnte ein Virus sein → als Virus flaggen.
