IT-Sicherheit2 - VL3.2

Beschreibung

Karteikarten am IT-Sicherheit2 - VL3.2, erstellt von B erry am 09/07/2024.
B erry
Karteikarten von B erry, aktualisiert vor 5 Monate
B erry
Erstellt von B erry vor 5 Monate
0
0

Zusammenfassung der Ressource

Frage Antworten
Systemintegrität stellt sicher, dass Systeme vertrauenswürdig sind und hinsichtlich Software, Daten und Kommunikation wie vorgesehen funktionieren Allg. Use Cases: Daten auf Festplatten korrekt, PC frei von Bugs... Use Cases IoT: Produktion - Kommando für funktionale Sicherheit ok... Typ. Abwehrmaßnahmen: Antiviren-Software, IDS... Typ. Angriffe: Malware, MITM, Injection
Malware "bösartige Software" Oberbegriff, der jedes bösartige Programm oder jeden bösartigen Code beschreibt, der für Systeme schädlich ist umfasst: Viren, Wrümer, Trojaner, Ransomware, Spyware... kann potenziell alle Systeme treffen oft konzipiert für bestimmte (weit verbreitete) Anwendungen/Betriebssysteme
Infektionen 1. Malware vom Benutzer ausgeführt (z.B. Installieren, Ausführen eines Programms) Benutzer hat viel Einfluss => Awareness Training 2. Angreifer nutzen Sicherheitslücken zur Ausführung aus (schlimmster Fall: RCE) Benutzer wenig, aber Admin viel Einfluss => Sicherheitsschulung
Zero-Day-Angriff
Computer-Virus - Prinzip infiziertes Programm wird ausgeführt und springt in Virencode (i.d.R. am Anfang) sucht nach nicht-infizierten Programmen (setzt Markierungen) kopiert sich in alle gefundenen Programme führt eigentlichen payload aus führt Originalprogramm aus (damit Programmausführung normal aussieht)
Computer-Viren - Aufbau Entschlüsselungsroutine (bei verschlüsselten Viren) Vermehrungsteil (jeder Virus) Erkennungsteil (kennzeichnet bereits Infizierte, Vermeidung doppelter Arbeit) Schadensteil (nicht bei jedem Virus) Bedingungsteil (für Ausführung des Payloads) Tarnungsteil (Veränderung des Virus vor Weiterverbreitung)
Viren der 1. Generation Verbreitung durch Kopieren von Daten über Disketten, manuelle Installationen infiziert ausführbare Dateien wird bei Programmstart als erstes ausgeführt
Überschreibender Virus überschreibt Originalcode => Wirtsdatei irreparabel beschädigt (sehr auffällig)
Companion-Virus zweite Datei, die vor Original ausgeführt wird (Name wird an Original angepasst) kein Virus im eigentlichen Sinne
Appending-Virus hinter dem Original-Code Änderung von Header-Daten & Adressen notwendig Methode abhängig vom Dateientyp
Prepending-Virus nistet sich vor Original-Code ein dadurch wird Original-Code verschoben Änderung von Header-Daten und Adressen notwendig Methode abhängig von Dateityp
EPO-Virus (Entry Point Obscuring) verschleiert Einsprung (Header und jump-Befehl am Anfang des Codes würde von Virenscannern erkannt werden) Virusaufruf nistet sich irgendwo im Originalprogramm ein Viruscode i.d.R. hinter Originalprogramm wird beim Ablauf des Wirtsprogramms aufgerufen
Boot-Virus infiziert Boot-Code des Dateisystems auf Festplatten oder Disketten vorher ausgeführt, dann Laden des eigentlichen Betriebssystems kann Betriebssystem manipulieren/ umgehen, sich selbst kopieren Problem: Sektorgröße beschränkt Viren
Viren der 2. Generation vernetzte, offene Systeme -> mehr Kanäle zur Verbreitung (z.B. Dateianhänge in Mails, Skripte auf Websites) oft automatische Ausführung Grenzen zwischen Viren und Würmern verschwimmen
Makro kleine Code-Teile in Daten-Dokumente eingebettet Ziel: Automatisierung von sich wiederholenden Abläufen
Makro-Virus / Daten-Virus Vorher: Dokumente reine Daten-Objekte Mit Makros: Daten-Objekte mit ausführbarem Code (Öffnen kann Verbreitung initiieren, nicht immer ersichtlich) Email-Attachments (Ausführen durch Anklicken oder automatisch), pdf
Würmer Schadprogramme, ähnlich einem Virus, die sich selbst reproduzieren und sich durch Ausnutzung der Kommunikationsschnittstellen selbstständig verbreiten
Computer-Würmer verbreiten sich ohne fremde Dateien oder Bootsektoren zu infizieren stattdessen über Netzwerke oder Wechselmedien (dabei Nutzung von Hilfsprogrammen ohne diese zu infizieren) Ausführung durch Benutzer, Autostart, Ausnutzung von Schwachstellen...
Email-Würmer auch ohne Schwachstellen nutzbar (ausführbarer Anhang, Hyperlink) Weiterverbreitung durch Ausnutzung bereits installierter Mailprogramme, eigenes SMTP-Unterprogramm neue Adressaten werden über Adressbücher gefunden
Email-Würmer - Strategie a) Interesse am Anhang wecken (z.B. Drohungen, Geldstrafen) b) unauffällig aussehender Anhang (Extension verschleiern durch z.B. lange Dateinamen, typfremd, komprimiert)
Instant-Messaging-Würmer Instant-Messaging-Programme oft Web-Anbindung Wurm über Link verpackt im laufenden Chat Schwachstellenausnutzung Verbreitung über Adressbuch
P2P-Würmer - Verbreitungsarten 1. Wurm in freigegebenen Ordnern 2. Imitation von P2P-Protokoll-Antworten auf Suchanfragen (Wurm- statt angefragte Datei wird gesendet) 3. Ausnutzung von Schwachstellen des P2P-Netzes (besonders effizient, wenn kein Benutzer benötigt wird)
Würmer für Wechseldatenträger kopieren sich selbstständig auf Datenträger (USB-Sticks, Speicherkarten, CDs...) um sich auf Computern zu verbreiten keine Verbreitung über Netzwerk, dadurch mühsamer (Transfer manuell durch Benutzer) Ausführung oft automatisch
Handy-Würmer Verbreitung über Bluetooth, SMS, WLAN, Mobilfunk... Ausführung durch Hyperlinks, Schwachstellen...
Wirtschaftlicher Schaden durch Würmer Finanzieller Schaden höher als durch Viren erheblicher Verbrauch von Netzwerkressourcen Schäden vor allem durch Ausfall von Systemen
Trojanisches Pferd (auch: Trojaner) Programm mit verdeckter, nicht dokumentierter Funktion oder Wirkung verbreitet sich nicht selbst, sondern wirbt mit seiner Nützlichkeit um den Benutzer zur Installation zu bringen
Trojanisches Pferd - Entwicklung & Verbreitung Entwicklung: Verknüpfung zweier unabhängiger Programme (bösartig & nützlich) bei Start des nützlichen Programms auch Ausführung des bösartigen Verteilung: alle Kanäle, über die Programme installiert werden können (Internet, Speichermedien...)
Software-Schwachstellen SW meist komplex, dadurch fehleranfällig Fehler ausnutzbar => Schwachstelle Ausnutzung von Schwachstellen mithilfe von Angriffsvektoren durch Bedrohungsakteure Ergebnis: RCE, Diebstahl, Privilege Escalation Ziel: oft weit verbreitete SW, Server, Datenbanken, Anwendungen, Betriebssysteme, IoT-Geräte
Ausnutzen (Exploit) Malware, die eine SW-Schwachstelle mit der Absicht ausnutzt, einen Computer zu infizieren oder eine andere schädliche Aktion auszuführen
Exploit-Varianten gängige Angriffsverktoren z.B. Puffer-, Heap-Überlaufe, Injektionen, XSS
Pufferüberlauf einige Programmiersprachen (z.B. C/C++) erlauben Schreiben von Strings in Felder ohne Prüfung der Feldgrenzen -> Daten können über reservierten Bereich hinaus in den Speicher geschrieben werden => ändert Speicher & Programm (Absturz, bösartiges Verhalten)
Pufferüberlauf - Speichersegmente Programme legen beim Start Speicherplatz an Codesegmente (enthält Programmcode) Heapsegmente (globale & statische Variablen) Stacksegmente (lokale Variablen, Übergabeparamter, Rücksprungadressen)
Pufferüberlauf - Schwachstellen ausnutzen Angreifer überschreibt Daten des Stacks mit eigenem Code über Feldgrenzen eines Strings hinaus dabei muss die Rücksprungadresse richtig überschrieben werden (Nutzung von NOP)
Pufferüberlauf - Probleme & Lösungen Problem: Wert 0 im Code markiert Ende des Strings -> Einlesen bricht ab Lösung: ersetze 0 durch geeignete Ersatzkommandos Problem: Zugriff auf eigene Daten über absolute (unbekannte) Adressen Lösung: Finden mit relativen Sprüngen außerhalb des eigenen Codes Problem: Schadcode benötigt viele Funktionen Lösung: nutze Betriebssystem-Funktionen des Opfers
Heap-Überlauf ähnelt Pufferüberlauf Speicher auf Heap wird angefordert und reserviert Angreifer schreibt mehr in den Speicher als reserviert wurde dadurch kann Schadcode in den Speicher des Programms gelangen
Formatstring-Angriffe gegebene Formatzeichen werden über Parameter gefüllt z.B. printf(,,%s", buffer); vergessener Formatstring (printf(buffer);) interpretiert buffer als diesen Ziel: eigenen Formatstring ohne Parameter einschleusen (dann wird nächster Wert vom Stack genommen) und damit beliebige Werte Byte für Byte in den Speicher zu schreiben
Injektionsangriff Angreifer liefert nicht vertrauenswürdige Eingaben an ein Programm, das diese verarbeitet und schädliche Effekt hervorruft Eingaben werden ohne (ausreichende) Validierung weiterverarbeitet z.B. SQL Injection, XSS
SQL Injections fügen SQL-ähnliche Strings in Website-Formulare ein, um Datenbankbefehle zu manipulieren
Cross Site Scripting (XSS) injiziert Skripte in Websites, die von Benutzern aufgerufen werden
XSS - non-persistent Benutzereingabe wird sofort vom Server reflektiert dadurch Veränderung des Links -> Ausführung auf anfragendem Client modifizierter Link wird dann weitergegeben -> Ausführung im Client-Browser
XSS - persistent schädliches Skript wird auf vertrauenswürdigem Webserver gespeichert (speichern z.B. über Gästebücher, Verkaufsanzeigen, Foren) Aufruf durch Benutzer führt zur Ausführung des Schadcodes
Drive-by-Download (Drive-by-Infection) Client wird mit Malware infiziert, indem er eine bösartige Website aufruft 1. Drive-by-Website vorbereiten (Besitz einer Website oder Aneignung legitimer Webserver) 2. Client-Schwachstellen ausnutzen (Aufruf der Website durch Client infiziert Client-Computer mit Exploit-Kit und lädt Payload herunter)
Watering Hole Attack Websites, die von bestimmten Branchen oder Interessengruppen genutzt werden (gezielt) anders als Commodity: Websites, die von vielen Leuten genutzt werden
Exploit-Kits Sammlungen von Exploits für Kommerz Auflistung von Exploits für verschiedene Schwachstellen in gängigen Webbrowsern und Browser-Add-ons fehlende clientseitige Sicherheitsupdates können zu Drive-by-Download-Angriffen führen
Spyware bösartige SW, die darauf ausgelegt ist, in ein System einzudringen, Daten zu sammeln und diese ohne Zustimmung des Besitzers an Dritte weiterzuleiten Häufig: sicherheitsrelevante oder geschäftskritische Daten Manchmal: legitime SW, die Daten für kommerzielle Zwecke (Werbung) überwacht
Ransomware sich ständig weiterentwickelnde Malware, die darauf ausgelegt ist, Dateien auf einem Gerät zu verschlüsseln, wodurch alle Dateien und Systeme, die auf ihnen basieren, unbrauchbar werden. Böswillige Akteure fordern dann Lösegeld im Austausch für die Entschlüsselung Trend: von Commodity zu gezielten Angriffen
Cryptomining Lösen eines komplexen mathematischen Problems, welches viel Rechenleistung erfordert und mit Kryptowährung vergütet wird
Bösartiger Cryptominer Malware, die darauf ausgelegt ist, die ungenutzte Rechenleistung des Geräts eines Opfers zu kapern und zum Mining von Kryptowährung zu nutzen. Die Opfer sind sich der Malware auf ihrem Gerät möglicherweise nicht bewusst.
Scareware darauf ausgelegt, den Benutzer zu verunsichern und ihn dazu zu verleiten, schädliche Software zu installieren oder für ein unnützes Produkt zu bezahlen
Antiviren-Software (AV) Programme, die Systeme vor Infektionen/ Installation von Malware schützen Verwendung: scannen, erkennen, löschen von Viren auf Computern Name irreführend, da AV auf jede Art von Malware abzielt für infizierte Systeme oft nutzlos (stattdessen z.B. Entfernungssoftware)
AV - Erkennungsmechanismen Signaturen (nur bei bekannten Signaturen) Heuristiken (verdächtige Muster -> kann unbekannte Malware erkennen, aber auch falsch liegen mit Einschätzung) Verhalten (Überwachung, Blockieren bei verdächtigem Verhalten) Sandboxing (Ausführung in sicherer Sandbox, z.B. virtueller Umgebung) Problem: Angreifer testen ihre Malware gegen weit verbreitete AV
Allow & Block Lists Block List: Listen unerwünschter Software Allow List: Liste akzeptierter SW, alles andere wird abgelehnt
Patches werden installiert, um Fehler zu beheben, Sicherheitsprobleme zu lösen oder den Betrieb von Softwaresystemen zu verbessern
Patch-Management Prozess der Verwaltung von SW-Updates/ Patches für SW-Anwendungen oder -Systeme kein einfacher Prozess (braucht Zeit, Absturz oder Nicht-Verfügbarkeit von Systemen, erneute Prüfung nach Patching, zeitabhängig, Patching unzulässig)
Patch-Management-Prozess 1. Patch-Management als Priorität etablieren 2. Genaue Bestandsaufnahme (alle Komponenten) 3. Wissen über Sicherheitslücken, Schweregrad und Patches (jede Sicherheitslücke könnte ausgenutzt werden, CVE-Websites regelmäßig prüfen) 4. Entwickeln eines Testverfahrens (Patches testen) 5. Verantwortlichkeiten zuweisen 6. Dokumentieren (Tests, Fertigstellung)
Schwachstellen-Schweregrad Common Vulnerability Scoring System Berechnung des Schweregrads einer Schwachstelle
Zusammenfassung anzeigen Zusammenfassung ausblenden

ähnlicher Inhalt

Tag der deutschen Einheit
barbara91
Zivilrecht - Zivilprozessrecht Streitigkeiten
myJurazone
Innere Medizin
marieschwertl
Geometrie
Tahir Celikkol
Einführung für GoConqr - Kurzversion
Laura Overhoff
GPSY ALPS
hf.meyer
SL2
N H
Vetie - Probefragen+Klausur Tierhaltung
E. König
Vetie Chirurgie 2019
Péroline de Gail
Vetie - Fleisch 2016
Kim Langner