1 Viren, Würmer und Trojaner: Eine kleine Führung durch den Zoo der Computerschädlinge Prof. Dr....
-
Upload
bathildis-layer -
Category
Documents
-
view
123 -
download
0
Transcript of 1 Viren, Würmer und Trojaner: Eine kleine Führung durch den Zoo der Computerschädlinge Prof. Dr....
1
Viren, Würmer und Trojaner:
Eine kleine Führung durch den Zoo
der ComputerschädlingeProf. Dr. Felix
FreilingUniversität Mannheim
Vortrag im Rahmen der Langen Nacht der
Wissenschaft in Mannheim
10. November 2007
2
Das Internet
http
://ww
w.cy
berg
eog
raphy.o
rg/a
tlas/g
eog
raphic.h
tml
3
Science Fiction• David Gerrold: When Harlie Was One,
1972.– Vision eines selbstreplizierenden
Programmes, genannt VIRUS
• John Brunner: Shockwave Rider, 1975.– Vision eines Programmes,
genannt WORM, dass autonom von Rechner zu Rechner wandert
4
Realität
• Selbstreplizierende Programme sind heute Realität
• Die meisten fallen in die Kategorie der Schadprogramme (malicious software, kurz malware)
• Omnipräsent im Internet• Schadprogramme sind interessante
Forschungsobjekte• Wir haben für Sie ein paar Exemplare in
Käfige gesteckt zum Anschauen ...
5
Bekannte Beispiele
6
März 2000• Sie erhalten eine E-Mail! Was tun Sie?
7
Reinschauen
8
Anhang?
9
Selbstreplikation
10
I Love You Virus
• Lehre: Meide Programme in Anhängen...
11
Word-Datei im Anhanghttp
://ww
w.h
eise
.de/ct/9
9/0
8/0
17
/
12
Der Melissa Virus
• Aktivitäten von Melissa wurden erstmals am 26. März 1999 registriert– In alt.sex Newsgroup, in einem Dokument
mit vorgeblich Kennungen und Passwörtern für Pornoseiten
• Melissa verschickte eine Word-Datei– Word erlaubt die Einbettung von Visual
Basic Programmen– Beim Öffnen der Datei in Word wird
Programm ausgeführt
13
Funktionsweise
• Schaltet zunächst Makro-Schutzmöglichkeit in Word ab
• Sucht in Microsoft Outlook Adressbuch nach den ersten 50 Email-Adressen– Versendet sich selbständig dorthin mit
modifiziertem Inhalt • Kopiert sich selbst in das Document_Close-
Makro der Word-Dokumentvorlage– Wann immer ein neues Word-Dokument
geschlossen wird, wird es neu befallen
14
15
16
Folgen von Melissa
• In drei Tagen über 100.000 Computer infiziert
• Mail-Server waren überlastet– CERT berichtet: teilweise 32.000 Melissa-
Mails pro 45 Minuten
• Viele Provider nahmen ihre Mail-Server vom Netz
17
Schwachstelle Mensch?
• Ursächlich für LOVELETTER und Melissa:– Naivität der Benutzer– Laxen Sicherheitseinstellungen von
Windows
• Es geht auch ohne den Menschen
• Bekannte Beispiele: – Der Sasser-Wurm– Der Wurm CodeRed
18
Schwachstellen in Netzdiensten
• Rechner haben eine IP-Adresse• Programme (z.B. Webserver) haben eine
Port-Nummer• Programme warten auf Daten am Port, um
sie weiterzuverarbeiten• Fehler bei der Programmierung können
dazu führen, dass die Programme etwas anderes machen als sie sollen
19
Integer Overflow in C
const long MAX_LEN = 0x7fff;
short len = strlen(input);
if (len < MAX_LEN) {
// do something assuming that
// input is smaller than MAX_LEN
}
20
Demonstration
• Denial of Service in Firefox 1.x• Eine nicht wohlgeformte Antwort auf eine
ftp-Anfrage von Firefox bringt den Browser zum Absturz
• Demonstration im Aixploits-System von Juliane Mathes und Benedikt Kaleß (www.aixploits.de)
• Antwort an Firefox wird durch Perl-Skript simuliert
21
Eine
klei
ne
Gattu
ngsle
hre
22
Viren
• Verstecken sich und vermehren sich im Dateisystem
• Um infiziert zu werden, muss ein Stück Software auf dem Rechner ausgeführt werden
• Verbreiten sich typischerweise durch den Austausch von Dateien
23
Würmer
• Können sich selbständig von Rechner zu Rechner verbreiten (unter Ausnutzung von Schwachstellen)
• Können auch rein im Hauptspeicher existieren
24
Trojanische Pferde (Trojaner)
• Software, die vorgibt, etwas anderes zu sein
• Sehr einfach zu schreiben• Muss vom Opfer ausgeführt werden
• List des Griechen Odysseus, durch die die Eroberung Trojas erst möglich wurde
25
Aktuelle Exemplare
26
Exkurs: Internet Relay Chat (IRC)
• Weltweit verteiltes Kommunikationssystem• Diskussionskanäle zu verschiedenen
Themen• Nutzer identifizieren sich durch
Spitznamen
http://www.newircusers.com/ircchat.html
27
IRC (Ro)Bot
• Autonomes Programm, das an einem speziellen IRC Channel auf Kommandos wartet und diese ausführt
• Bots sind eine aktuelle Entwicklung im Internet
• Einfache Strukturen können sehr schmerzliche Effekte haben
28
Bots und Botnetze
• Botnetz = Netz von vielen “gleichgeschalteten” IRC Bots
29
Nutzen von Botnetzen
• Distributed Denial of Service Angriffe• Spam-Versand• Sniffing• Keylogging• Verbreiten von Malware• Aber auch: Geldverdienen mit Clicks auf
Werbung, Manipulation von Online Umfragen, und vieles mehr
30
Botnetze beobachten: Honeypots
• Honeypots tun so, als wären sie verwundbar
• Können Würmer/Bots fangen
31
Beobachten von Botnets
• “Zugangsdaten” zum Botnetz:– DNS/IP-Adresse des IRC-Servers plus
Portnummer– Name des Channels und ggf. Channel
Passwort
• Mit diesen Daten kann man einen eigenen Bot in das Botnetz einschleusen
• Im Botnetz Kommandos mitschneiden und offline analysieren
32
Beobachtungen
• Größe von Botnets:– Innerhalb weniger Monate wurden gut
220.000 verschiedene IP-Adressen in den beobachteten Botnet-Channels gesichtet
– Größe der Botnets zwischen 100 und 50.000 Rechnern
• Manchmal chatten Botnet-Betreiber auf dem Channel
33
Botnetze bekämpfen
• Durch Unterwandern der Botnetze kann man die zentrale Schaltstelle ausspähen
• Schaltstelle ausschalten• Oft Hilfe der Behörden notwendig
34
Die besonders gefährlichen Arten ...
35
Robuste Botnetze
• Zentrale Schaltstelle ist zentraler Schwachpunkt eines IRC-Botnetzes
• Verwenden von modernen P2P-Techniken:– Bots leiten Kommandos gegenseitig weiter– Keine zentrale Instanz mehr im Netz
• Bisher noch sehr selten in freier Wildbahn aufgetaucht
36
Wurm Ausbreitung• Würmer verbreiten sich gemäß einer
Infektionskurve• Beispiel: Witty Worm (März 2004)
http
://ww
w.ca
ida.o
rg/a
naly
sis/secu
rity/w
itty/
37
Flash Würmer
• Flash Würmer zielen auf schlagartiges maximales Wachstum
• Kundschaften vorher in aller Stille verwundbare Rechner aus
• Verbreiten sich gemäß vorberechnetem Plan mit maximaler Geschwindigkeit
• Im Labor gemessene mögliche Ausbreitungsgeschwindigkeiten: nahezu 1 Million Rechner in 510 Millisekunden
38
Flux
• Neue Entwicklung im Internet• Weiterentwickeltes Botnetz zum Zwecke
des Webhosting– Anbieten von kriminellen Webseiten– Vertrieb von Pharmaprodukten,
Pornographie
• Idee: Netz versteckt sich „in sich selbst“
39
Anfrage nach Webseite
normaler Ablauf
Ablauf mit Flux
Webserver: www.example.de
DNS-Server
Fluxe
Opfer
40
DNS-Auflösung mit FluxWebserver: www.example.de
DNS-Server
Fluxe
Opfer
41
Schwierigkeiten• Eigentlicher Webserver versteckt sich
hinter den Bots– Bots sind nur Vermittler (Proxies)– Vermittler ändern sich ständig (durch
Aktualisierung des DNS)
• Auch DNS-Auflösung kann durch das Netz selbst durchgeführt werden
• Zunehmend auch Examplare in freier Wildbahn anzutreffen
• Es ist noch unklar, wie man Flux bekämpft
42
Zusammenfassung
• Malware ist omnipräsent– Honeypot-Sensoren registrieren Anfragen von
autonomer Malware innerhalb weniger Minuten
• Science Fiction ist Realität• Malware wird uns im Netz für immer begleiten• Forschungsbedarf
– Offensive Denkweise, um mit den Angreifern Schritt zu halten
– Entwickeln von wirksamen Abwehrtechniken
43
Kontakt:Prof. Dr. Felix Freiling
Praktische Informatik 1Universität Mannheim68131 Mannheimpi1.informatik.uni-mannheim.de
44
Quellen
• Martin Baltscheit: Die Geschichte vom Löwen, der nicht schreiben konnte. Bajazzo, 2002.
• Faustin Charles und Michael Terry: Das sehr unfreundliche Krokodil. Bloomsbury, 2005.
• Thorsten Holz: A short visit to the bot zoo. IEEE Security & Privacy, Vol. 3 (3), 2005.
• Christian Klein: Computer Viruses. Vortrag im Rahmen der Summer School Applied IT Security, RWTH Aachen, 2004.
• Stephen Cass: Anatomy of Malice. IEEE Spectrum, 38(11), 2001.
• S. Staniford, D. Moore, V. Paxson and N. Weaver: The Top Speed of Flash Worms. ACM CCS WORM, 2004 .
• Benedikt Kaleß, Juliane Mathes: Aixploits - Ein System zur Demonstration von Sicherheitslücken. http://www.aixploits.de
45
Abstract
• Der Vortrag begleitet die Zuhörer bei einem Gang durch den Zoo aktueller Computerschädlinge. Nach einem kurzen Rückblick in die Artengeschichte der verschiedenen Gattungen, folgt ein Streifzug durch das Wildtiergehege der Viren und Würmer. Den Abschluss bildet ein kurzer Einblick in das Terrarium der besonders jungen und giftigen Exemplare.