Diese Präsentation verdeutlich auf welche Weise Malware sich im Web verbreitet und agiert. Es werden sowohl Schutz-, als auch Angriffsmethoden verdeutlicht.
1. Die Gefahr im Web Webviren und Co. – eine Präsentation von K1ngC0bra
2. Gliederung Definition: Malware Klassifizierung Trojaner Würmer Angriff und Verbreitung über das Web Phishing Drive-by-Download P2P / Filesharing Schutz Schwierigkeit Scantime Runtime Schutzmethoden (Antivirensoftware) Heuristik SandBox Präventionsmaßnahmen Browser Resident shield
3. Definition: Malware „Als Malware (Kofferwort aus engl. malicious, „bösartig“ und Software) oder Schadprogramm bezeichnet man Computerprogramme, welche vom Benutzer unerwünschte und ggf. schädliche Funktionen ausführen. Da ein Benutzer im Allgemeinen keine schädlichen Programme duldet, sind die Schadfunktionen gewöhnlich getarnt oder die Software läuft gänzlich unbemerkt im Hintergrund“
5. Klassifizierung - Trojaner beinhaltet schädliche Funktionen läuft im Hintergrund Tarnung in (scheinbar) nützlichen Programmen Ziel: Ausspähung von Benutzerdaten (vorzugsweise von Online-Dienste) durch z.B. „Keylogger“
6. Klassifizierung - Würmer verbreitet sich automatisch (häufig über Emails) Besitzen häufig keine direkte Schädlingseigenschaften können selbstständig Zusatzmodule aus dem Web nachladen
7. Angriff und Verbreitung über das Web - Phishing Nachahmung einer bekannten Website um direkt an Benutzerdaten eines Online-Dienstes zu gelangen, oder den Benutzer aufzufordern eine Datei (Malware) herunter zu laden.
9. Angriff und Verbreitung über das Web – Drive-by-Download Sicherheitslücken (Exploits) in Browsern werden ausgenutzt um Malware direkt herunter zu laden und anschließend diese auszuführen – dies geschieht im Geheimen Beispiele eines Web-Attack-Toolkit: mPack
10. Angriff und Verbreitung über das Web – P2P/Filesharing meist verbreiteste Methode für die Verteilung von Trojanern Trojaner werden auf raffinierte Weise in Bildern, Musikdateien, oder Software versteckt
11. Schutz – Schwierigkeit - Scantime Schädlingsprogramm wird verschlüsselt an eine Stub angehängt um den Schädling vor Antivirensoftware zu tarnen Stub entschlüsselt beim Ausführen den Schädling und startet ihn
12. Schutz – Schwierigkeit - Runtime Schädlingsprogramm wird verschlüsselt an eine Stub angehängt um den Schädling vor Antivirensoftware zu tarnen Stub entschlüsselt beim Ausführen den Schädling im Speicher auf welchen eine Antivirensoftware keinen Zugriff hat und startet den Schädling ebenfalls aus dem Speicher herraus
13. Schutzmethoden Antivirensoftware verfügt über verschiedene Methoden Schädlinge zu erkennen: Heuristik SandBox Es gibt zudem viele Online-Dienste (Webanwendungen) welche das scannen von einzelnen Dateien oder ganzen Dateisystem zu Verfügung stellt: Virustotal.com Anubis.iSecLab.org
14. Schutzmethoden - Heuristik Dateien werden nach bekannten Dateifragmenten von bereits bekannter Malware durchsucht um so, neue Varianten von Malware frühzeitig zu erkennen „ Heuristik (altgr. εὑρίσκωheurísko „ich finde“; heuriskein, „(auf-)finden“, „entdecken“) bezeichnet die Kunst, mit begrenztem Wissen und wenig Zeit zu guten Lösungen zu kommen.“
15. Schutzmethoden - SandBox eine SandBox ist eine gesicherte Umgebung (ähnlich eines Computers in einem Computer) Antivirensoftware startet Dateien in einer Sandbox und analysiert ihr Verhalten Für den Gebrauch zu Hause empfiehlt sich eine einfacher strukturierte Sandbox SandBoxie (sandboxie.com [Freeware])
16. Präventionsmaßnahmen - Browser Drive-by-Download kann durch ein allgemeines Verbot von der Ausführung von Scripten eingedämmt werden Phishing kann durch Zusatzmodule für Browser verhindert werden, welche einerseits die URL überprüft Immunisierung: bekannte infizierte Websiten oder andere negativ aufgefallene Websiten können mit dem Browser nicht mehr besucht werden
17. Präventionsmaßnahmen – Resident shield Ein Resident Shield schützt schon vor dem Ausführen einer Datei wodurch Malware keine Möglichkeit hat Schaden anzurichten