Pregunta | Respuesta |
Systemintegrität | stellt sicher, dass Systeme vertrauenswürdig sind und hinsichtlich Software, Daten und Kommunikation wie vorgesehen funktionieren Allg. Use Cases: Daten auf Festplatten korrekt, PC frei von Bugs... Use Cases IoT: Produktion - Kommando für funktionale Sicherheit ok... Typ. Abwehrmaßnahmen: Antiviren-Software, IDS... Typ. Angriffe: Malware, MITM, Injection |
Malware | "bösartige Software" Oberbegriff, der jedes bösartige Programm oder jeden bösartigen Code beschreibt, der für Systeme schädlich ist umfasst: Viren, Wrümer, Trojaner, Ransomware, Spyware... kann potenziell alle Systeme treffen oft konzipiert für bestimmte (weit verbreitete) Anwendungen/Betriebssysteme |
Infektionen | 1. Malware vom Benutzer ausgeführt (z.B. Installieren, Ausführen eines Programms) Benutzer hat viel Einfluss => Awareness Training 2. Angreifer nutzen Sicherheitslücken zur Ausführung aus (schlimmster Fall: RCE) Benutzer wenig, aber Admin viel Einfluss => Sicherheitsschulung |
Zero-Day-Angriff | |
Computer-Virus - Prinzip | infiziertes Programm wird ausgeführt und springt in Virencode (i.d.R. am Anfang) sucht nach nicht-infizierten Programmen (setzt Markierungen) kopiert sich in alle gefundenen Programme führt eigentlichen payload aus führt Originalprogramm aus (damit Programmausführung normal aussieht) |
Computer-Viren - Aufbau | Entschlüsselungsroutine (bei verschlüsselten Viren) Vermehrungsteil (jeder Virus) Erkennungsteil (kennzeichnet bereits Infizierte, Vermeidung doppelter Arbeit) Schadensteil (nicht bei jedem Virus) Bedingungsteil (für Ausführung des Payloads) Tarnungsteil (Veränderung des Virus vor Weiterverbreitung) |
Viren der 1. Generation | Verbreitung durch Kopieren von Daten über Disketten, manuelle Installationen infiziert ausführbare Dateien wird bei Programmstart als erstes ausgeführt |
Überschreibender Virus | überschreibt Originalcode => Wirtsdatei irreparabel beschädigt (sehr auffällig) |
Companion-Virus | zweite Datei, die vor Original ausgeführt wird (Name wird an Original angepasst) kein Virus im eigentlichen Sinne |
Appending-Virus | hinter dem Original-Code Änderung von Header-Daten & Adressen notwendig Methode abhängig vom Dateientyp |
Prepending-Virus | nistet sich vor Original-Code ein dadurch wird Original-Code verschoben Änderung von Header-Daten und Adressen notwendig Methode abhängig von Dateityp |
EPO-Virus (Entry Point Obscuring) | verschleiert Einsprung (Header und jump-Befehl am Anfang des Codes würde von Virenscannern erkannt werden) Virusaufruf nistet sich irgendwo im Originalprogramm ein Viruscode i.d.R. hinter Originalprogramm wird beim Ablauf des Wirtsprogramms aufgerufen |
Boot-Virus | infiziert Boot-Code des Dateisystems auf Festplatten oder Disketten vorher ausgeführt, dann Laden des eigentlichen Betriebssystems kann Betriebssystem manipulieren/ umgehen, sich selbst kopieren Problem: Sektorgröße beschränkt Viren |
Viren der 2. Generation | vernetzte, offene Systeme -> mehr Kanäle zur Verbreitung (z.B. Dateianhänge in Mails, Skripte auf Websites) oft automatische Ausführung Grenzen zwischen Viren und Würmern verschwimmen |
Makro | kleine Code-Teile in Daten-Dokumente eingebettet Ziel: Automatisierung von sich wiederholenden Abläufen |
Makro-Virus / Daten-Virus | Vorher: Dokumente reine Daten-Objekte Mit Makros: Daten-Objekte mit ausführbarem Code (Öffnen kann Verbreitung initiieren, nicht immer ersichtlich) Email-Attachments (Ausführen durch Anklicken oder automatisch), pdf |
Würmer | Schadprogramme, ähnlich einem Virus, die sich selbst reproduzieren und sich durch Ausnutzung der Kommunikationsschnittstellen selbstständig verbreiten |
Computer-Würmer | verbreiten sich ohne fremde Dateien oder Bootsektoren zu infizieren stattdessen über Netzwerke oder Wechselmedien (dabei Nutzung von Hilfsprogrammen ohne diese zu infizieren) Ausführung durch Benutzer, Autostart, Ausnutzung von Schwachstellen... |
Email-Würmer | auch ohne Schwachstellen nutzbar (ausführbarer Anhang, Hyperlink) Weiterverbreitung durch Ausnutzung bereits installierter Mailprogramme, eigenes SMTP-Unterprogramm neue Adressaten werden über Adressbücher gefunden |
Email-Würmer - Strategie | a) Interesse am Anhang wecken (z.B. Drohungen, Geldstrafen) b) unauffällig aussehender Anhang (Extension verschleiern durch z.B. lange Dateinamen, typfremd, komprimiert) |
Instant-Messaging-Würmer | Instant-Messaging-Programme oft Web-Anbindung Wurm über Link verpackt im laufenden Chat Schwachstellenausnutzung Verbreitung über Adressbuch |
P2P-Würmer - Verbreitungsarten | 1. Wurm in freigegebenen Ordnern 2. Imitation von P2P-Protokoll-Antworten auf Suchanfragen (Wurm- statt angefragte Datei wird gesendet) 3. Ausnutzung von Schwachstellen des P2P-Netzes (besonders effizient, wenn kein Benutzer benötigt wird) |
Würmer für Wechseldatenträger | kopieren sich selbstständig auf Datenträger (USB-Sticks, Speicherkarten, CDs...) um sich auf Computern zu verbreiten keine Verbreitung über Netzwerk, dadurch mühsamer (Transfer manuell durch Benutzer) Ausführung oft automatisch |
Handy-Würmer | Verbreitung über Bluetooth, SMS, WLAN, Mobilfunk... Ausführung durch Hyperlinks, Schwachstellen... |
Wirtschaftlicher Schaden durch Würmer | Finanzieller Schaden höher als durch Viren erheblicher Verbrauch von Netzwerkressourcen Schäden vor allem durch Ausfall von Systemen |
Trojanisches Pferd (auch: Trojaner) | Programm mit verdeckter, nicht dokumentierter Funktion oder Wirkung verbreitet sich nicht selbst, sondern wirbt mit seiner Nützlichkeit um den Benutzer zur Installation zu bringen |
Trojanisches Pferd - Entwicklung & Verbreitung | Entwicklung: Verknüpfung zweier unabhängiger Programme (bösartig & nützlich) bei Start des nützlichen Programms auch Ausführung des bösartigen Verteilung: alle Kanäle, über die Programme installiert werden können (Internet, Speichermedien...) |
Software-Schwachstellen | SW meist komplex, dadurch fehleranfällig Fehler ausnutzbar => Schwachstelle Ausnutzung von Schwachstellen mithilfe von Angriffsvektoren durch Bedrohungsakteure Ergebnis: RCE, Diebstahl, Privilege Escalation Ziel: oft weit verbreitete SW, Server, Datenbanken, Anwendungen, Betriebssysteme, IoT-Geräte |
Ausnutzen (Exploit) | Malware, die eine SW-Schwachstelle mit der Absicht ausnutzt, einen Computer zu infizieren oder eine andere schädliche Aktion auszuführen |
Exploit-Varianten | gängige Angriffsverktoren z.B. Puffer-, Heap-Überlaufe, Injektionen, XSS |
Pufferüberlauf | einige Programmiersprachen (z.B. C/C++) erlauben Schreiben von Strings in Felder ohne Prüfung der Feldgrenzen -> Daten können über reservierten Bereich hinaus in den Speicher geschrieben werden => ändert Speicher & Programm (Absturz, bösartiges Verhalten) |
Pufferüberlauf - Speichersegmente | Programme legen beim Start Speicherplatz an Codesegmente (enthält Programmcode) Heapsegmente (globale & statische Variablen) Stacksegmente (lokale Variablen, Übergabeparamter, Rücksprungadressen) |
Pufferüberlauf - Schwachstellen ausnutzen | Angreifer überschreibt Daten des Stacks mit eigenem Code über Feldgrenzen eines Strings hinaus dabei muss die Rücksprungadresse richtig überschrieben werden (Nutzung von NOP) |
Pufferüberlauf - Probleme & Lösungen | Problem: Wert 0 im Code markiert Ende des Strings -> Einlesen bricht ab Lösung: ersetze 0 durch geeignete Ersatzkommandos Problem: Zugriff auf eigene Daten über absolute (unbekannte) Adressen Lösung: Finden mit relativen Sprüngen außerhalb des eigenen Codes Problem: Schadcode benötigt viele Funktionen Lösung: nutze Betriebssystem-Funktionen des Opfers |
Heap-Überlauf | ähnelt Pufferüberlauf Speicher auf Heap wird angefordert und reserviert Angreifer schreibt mehr in den Speicher als reserviert wurde dadurch kann Schadcode in den Speicher des Programms gelangen |
Formatstring-Angriffe | gegebene Formatzeichen werden über Parameter gefüllt z.B. printf(,,%s", buffer); vergessener Formatstring (printf(buffer);) interpretiert buffer als diesen Ziel: eigenen Formatstring ohne Parameter einschleusen (dann wird nächster Wert vom Stack genommen) und damit beliebige Werte Byte für Byte in den Speicher zu schreiben |
Injektionsangriff | Angreifer liefert nicht vertrauenswürdige Eingaben an ein Programm, das diese verarbeitet und schädliche Effekt hervorruft Eingaben werden ohne (ausreichende) Validierung weiterverarbeitet z.B. SQL Injection, XSS |
SQL Injections | fügen SQL-ähnliche Strings in Website-Formulare ein, um Datenbankbefehle zu manipulieren |
Cross Site Scripting (XSS) | injiziert Skripte in Websites, die von Benutzern aufgerufen werden |
XSS - non-persistent | Benutzereingabe wird sofort vom Server reflektiert dadurch Veränderung des Links -> Ausführung auf anfragendem Client modifizierter Link wird dann weitergegeben -> Ausführung im Client-Browser |
XSS - persistent | schädliches Skript wird auf vertrauenswürdigem Webserver gespeichert (speichern z.B. über Gästebücher, Verkaufsanzeigen, Foren) Aufruf durch Benutzer führt zur Ausführung des Schadcodes |
Drive-by-Download (Drive-by-Infection) | Client wird mit Malware infiziert, indem er eine bösartige Website aufruft 1. Drive-by-Website vorbereiten (Besitz einer Website oder Aneignung legitimer Webserver) 2. Client-Schwachstellen ausnutzen (Aufruf der Website durch Client infiziert Client-Computer mit Exploit-Kit und lädt Payload herunter) |
Watering Hole Attack | Websites, die von bestimmten Branchen oder Interessengruppen genutzt werden (gezielt) anders als Commodity: Websites, die von vielen Leuten genutzt werden |
Exploit-Kits | Sammlungen von Exploits für Kommerz Auflistung von Exploits für verschiedene Schwachstellen in gängigen Webbrowsern und Browser-Add-ons fehlende clientseitige Sicherheitsupdates können zu Drive-by-Download-Angriffen führen |
Spyware | bösartige SW, die darauf ausgelegt ist, in ein System einzudringen, Daten zu sammeln und diese ohne Zustimmung des Besitzers an Dritte weiterzuleiten Häufig: sicherheitsrelevante oder geschäftskritische Daten Manchmal: legitime SW, die Daten für kommerzielle Zwecke (Werbung) überwacht |
Ransomware | sich ständig weiterentwickelnde Malware, die darauf ausgelegt ist, Dateien auf einem Gerät zu verschlüsseln, wodurch alle Dateien und Systeme, die auf ihnen basieren, unbrauchbar werden. Böswillige Akteure fordern dann Lösegeld im Austausch für die Entschlüsselung Trend: von Commodity zu gezielten Angriffen |
Cryptomining | Lösen eines komplexen mathematischen Problems, welches viel Rechenleistung erfordert und mit Kryptowährung vergütet wird |
Bösartiger Cryptominer | Malware, die darauf ausgelegt ist, die ungenutzte Rechenleistung des Geräts eines Opfers zu kapern und zum Mining von Kryptowährung zu nutzen. Die Opfer sind sich der Malware auf ihrem Gerät möglicherweise nicht bewusst. |
Scareware | darauf ausgelegt, den Benutzer zu verunsichern und ihn dazu zu verleiten, schädliche Software zu installieren oder für ein unnützes Produkt zu bezahlen |
Antiviren-Software (AV) | Programme, die Systeme vor Infektionen/ Installation von Malware schützen Verwendung: scannen, erkennen, löschen von Viren auf Computern Name irreführend, da AV auf jede Art von Malware abzielt für infizierte Systeme oft nutzlos (stattdessen z.B. Entfernungssoftware) |
AV - Erkennungsmechanismen | Signaturen (nur bei bekannten Signaturen) Heuristiken (verdächtige Muster -> kann unbekannte Malware erkennen, aber auch falsch liegen mit Einschätzung) Verhalten (Überwachung, Blockieren bei verdächtigem Verhalten) Sandboxing (Ausführung in sicherer Sandbox, z.B. virtueller Umgebung) Problem: Angreifer testen ihre Malware gegen weit verbreitete AV |
Allow & Block Lists | Block List: Listen unerwünschter Software Allow List: Liste akzeptierter SW, alles andere wird abgelehnt |
Patches | werden installiert, um Fehler zu beheben, Sicherheitsprobleme zu lösen oder den Betrieb von Softwaresystemen zu verbessern |
Patch-Management | Prozess der Verwaltung von SW-Updates/ Patches für SW-Anwendungen oder -Systeme kein einfacher Prozess (braucht Zeit, Absturz oder Nicht-Verfügbarkeit von Systemen, erneute Prüfung nach Patching, zeitabhängig, Patching unzulässig) |
Patch-Management-Prozess | 1. Patch-Management als Priorität etablieren 2. Genaue Bestandsaufnahme (alle Komponenten) 3. Wissen über Sicherheitslücken, Schweregrad und Patches (jede Sicherheitslücke könnte ausgenutzt werden, CVE-Websites regelmäßig prüfen) 4. Entwickeln eines Testverfahrens (Patches testen) 5. Verantwortlichkeiten zuweisen 6. Dokumentieren (Tests, Fertigstellung) |
Schwachstellen-Schweregrad | Common Vulnerability Scoring System Berechnung des Schweregrads einer Schwachstelle |
¿Quieres crear tus propias Fichas gratiscon GoConqr? Más información.