Erweiterte Malware – Begriffserklärung Teil 3

In dieser mehrteiligen Artikelserie möchte ich Ihnen die verschiedenen Malware-Arten vorstellen und erklären. Alle Artikel finden Sie unter --> „Interne Links“ am Ende des jeweiligen Berichts.



Themen dieses Berichts (was Sie erwartet):



Allgemein:

In diesem Teil möchte ich auf erweiterte Malware eingehen.

In meinem beiden ersten Teilen haben Sie bereits klassische und erweiterte Malware kennen gelernt --> Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Da die Entwicklungen gerade in diesem Bereich ein enormes Tempo an den Tag legen, und ständig neue Bedrohungen auftauchen, sind die engen Kategorien nicht unbedingt hilfreich. Auch werden verschiedene Techniken immer mehr vermischt.

Im Folgenden finden Sie deshalb eine Erklärung zu den verschiedensten Begriffen.

Ich habe den Artikel „Erweiterte Malware“ aus Gründen der Übersichtlichkeit und des Umfangs in den Teil 2 und Teil 3 unterteilt.

Typen der erweiterten Malware:

Zur erweiterten Malware kann man folgende Typen zählen:



Backdoors:

Backdoors sind „Hintertüren“ oder „Geheimtüren“ für einen unautorisierten Zugriff auf Rechnersysteme. Sie werden oftmals von Trojanern mit installiert.

Sie arbeiten nach dem Client- / Server-Prinzip und ermöglichen den vollen Zugriff auf das Dateisystems des kompromittierten Rechners.

Backdoors bieten umfangreiche Funktionen zur Fernsteuerung von Rechnern:



RAT:

RAT sind Programme für den Fernzugriff (Remote Access Tools). Sie sind somit Artverwandt mit den „Backdoors“. Sie arbeiten ebenfalls nach dem Client- / Server-Prinzip. Diese Programme werden auch legal in Firmennetzwerken eingesetzt, um eine Fernwartung von entfernten Rechnersystemen zu ermöglichen.

Deshalb ist die Erkennung schwierig, weil sie sowohl legal, als auch illegal genutzt werden können. D.h. das Schadenspotential ist nicht von der Art des Programmcodes, sondern von der Art der Nutzung abhängig.

RAT`s bieten dem Angreifer die gleichen Möglichkeiten und Rechte, wie dem Benutzer des Systems.

Ist der Benutzer also unter einem Konto mit Administratorrechten angemeldet, kann die fern zugreifende Person alle Aktionen tätigen, die auch der Benutzer ausführen kann.

Normalerweise sieht der Angreifer den gleichen Bildschirm wie Benutzer.

RAT-Programme, wie auch Backdoors werden aber auch vom Angreifer auf einem System installiert, wenn dieser einen erfolgreichen Angriff / Zugriff auf das System erlangen konnte. So hat er jederzeit Zugriff auf das System, auch wenn die ursprüngliche Sicherheitslücke bereits geschlossen wurde.

Wenn Sie also ein Backdoor oder RAT auf Ihrem Rechner vorfinden, ist höchste Alarmstufe angesagt. Der sicherste Weg ist dann bestimmt die komplette Neuinstallation.



Keylogger:

Keylogger sind Programme zur Aufzeichnung von Tastatureingaben. Häufig können sie aber zusätzlich noch Screenshots (Abbilder des Bildschirminhalts) anfertigen. Die Daten werden dann sehr oft verschlüsselt zu dem Angreifer geschickt.

Sehr oft werden diese Programme zum ausspionieren von Passwörtern, Kreditkatennummern und Zugangsdaten zum Onlinebanking benutzt.

Datenschutzhinweis:

Mittlerweile werden solche Programme aber auch zum Überwachen der Familie oder Mitarbeiter als legal angepriesen.

Ich kann vor diesem Einsatz nur warnen, da sie nach Deutschem Recht illegal sind! Sie verstossen gegen das Datenschutzrecht, Fernmeldegesetz und das Postgeheimnis (E-Mails).

Auch der Vertrauensverlust innerhalb der Familie ist dabei nicht zu unterschätzen!!



Dropper:

Dropper haben die Aufgabe eigenständige Programme auf einem Wirtsrechner „auszusetzen“ und / oder die Vorraussetzungen für den Start dieser Programme zu schaffen. So kann ein Dropper z.B. Viren oder Trojaner auf dem System installieren.

Die Gefahr der Dropper ist, das die Dropper selbst und auch die transportierten Programme oftmals nicht von Anti-Viren-Programmen erkannt werden. Deshalb werden sie gerne zur Verbreitung von Viren und Trojanern genutzt.



Logische Bomben:

Logische Bomben sind Schadprogramme, die ihre Funktion nur unter bestimmten Bedingungen ausführen. Diese Bedingungen können sein:



DDoS-Tools:

DDoS-Tools werden genutzt, um einen verteilten DoS-Angriff auf bestimmte Ziele auszuführen. Einen Grundlagenartikel über DoS / DDos finden Sie unter --> „Interne Links“.

Diese DDoS-Tools werden meist im Zusammenhang einer Trojaner-, Backdoor- oder RAT-Infektion auf dem kompromittierten System installiert. Der Rechner wird dann sehr oft einem „Botnet“ überführt. Auf „Botnets“ werde ich in meinem 5. Teil eingehen.

Neben allerlei Gefahren für den User des kompromittierten Systems drohen nun auch noch Probleme mit dem Gesetz. So kann es bei einer Rückverfolgung des Angriffs zu Strafanzeigen kommen.



File-Server-Trojaner:

File-Server-Trojaner machen einen Rechner heimlich zu einem Dateiserver (z.B. FTP-Server). Dieser File-Server wird dann in bestimmten Kreisen bekannt gegeben, um illegale und strafbare Dateien zu verteilen. Dies können z.B. Sein:

Auch diese Malware kann zu erheblichen straf- und zivilrechtlichen Problemen führen.



Hoaxes:

Hoaxes sind Falschmeldungen, Scherze oder Enten. Sie haben oberflächlich betrachtet keine schädliche Wirkung und können sich nur durch massive Hilfe des Anwenders verbreiten. Sie werden als E-Mail verteilt und nutzen Social Engineering Mittel um den Empfänger zur Weiterleitung zu ermutigen.

Hoaxes haben meistens einen technischen Hintergrund.

Das sie aber nicht ganz ungefährlich sind zeigen einige Beispiele, in welchen eine sehr wichtige Systemdatei als Virus bezeichnet wird. Der Leser wird dazu ermutigt, diese Meldung schnellstens weiterzuleiten und danach diese Virusdatei zu suchen und zu löschen. Die Suche ist natürlich erfolgreich, da es sich um eine normale Systemdatei handelt. Wird diese Datei gelöscht, ist der Rechner meistens nicht mehr bootfähig und muss aufwendig neu aufgebaut werden.



Kettenbriefe:

Kettenbriefe sind den Hoaxes recht ähnlich. Sie haben aber keinen technischen Hintergrund. Oftmals geht es hier um das Abwenden von Unglück, Aberglaube oder Reichtum, das den Leser zum weiterleiten ermutigen soll.

Es gibt aber auch Kettenbriefe, die Reichtum versprechen, indem man an seine Vorgänger eine kleine Summe Geld überweist. Schickt man diesen Kettenbrief an sehr viele Leute weiter, und diese überweisen ebenfalls Geld, wird sich die Summe schnell exponieren.

Profitorientierte Kettenbriefe sind in Deutschland per Gesetz verboten.



Cookies:

Cookies – auf Deutsch „Kekse“ oder „Plätzchen“ haben erst mal einen netten Namen. Sie sind aber nicht unbedingt nett.

Ursprünglich wurden sie entwickelt, um diverse Aktivitäten auf Internetseiten zu erleichtern. Dazu werden bestimmte Daten gespeichert, die eine spätere Identifizierung erleichtert.

Dies können folgende Daten sein:

Wenn Sie sich in einem Onlineshop angemeldet haben, zusätzlich eventuell folgende Daten:

Diese Daten werden dazu genutzt, damit Sie z.B. Ihren Interessen angepasste Produkte oder Werbung angezeigt bekommen.

Da Cookies aber meistens unverschlüsselt in einer Textdatei abgelegt werden, sind solche Daten entsprechend kritisch. Ausserdem können andere Internetportale über geeignete AcitiveX-Controls diese Cookies auslesen.

Prinzipiell kann man zwischen drei Cookie-Arten unterscheiden:

Session Cookie:

Das Session Cookie wird nach dem Schliessen des Browsers gelöscht. Es ist nur für eine Sitzung gültig.

Dauer-Cookie:

Bei Dauer-Cookies wird die Speicherzeit von dem entsprechenden Internetportal vorgegeben. Hier sind allerdings Speicherzeiten von mehreren Jahrzehnten keine Seltenheit.

Tracking Cookies:

Normalerweise gilt: Nur der Aussteller eines Cookies kann dieses auch wieder lesen. In der Praxis gibt es leider mehrere Möglichkeiten, dies zu umgehen. Tracking Cookies allerdings sind so ausgerichtet, das sie von mehreren Internetportalen gelesen werden können.

Hierbei wird der Besucher von mehreren Seiten zusammenfassend registriert. Somit kann ein komplexes Bewegungsprofil erstellt werden.



Wichtig:

In meinem Bericht „U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme“ finden Sie sehr umfangreiche Möglichkeiten diese klassischen Malwarearten zu erkennen und zu bekämpfen. Diesen Bericht finden Sie unter --> „Interne Links“.



Interne Links:

Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware – Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware – Teil 3: dieser Bericht

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html

DoS Grundlagen: http://www.security-dome.eu/DoS_Grundlagen.html

U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme: http://www.security-dome.eu/__U3-Universelle_Auditing-und_Preventionlosung__.html



Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/




Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 11.08.06

Letzte Aktualisierung: 24.07.07



<-- Zurück zu den News