Malware und Intrusion Detection Systeme

Inhaltsverzeichnis

Übersichtsverzeichnis

Abkürzungsverzeichnis

1 Motivation und Zielsetzung

2 Malicious Software
2.1 Begriffsdefinition und Verbreitungswege
2.2 Typen von Malware
2.3 Trends bei der Entwicklung von Malware

3 Intrusion Detection Systeme
3.1 Begriffsdefinitionen
3.2 Architekturkomponenten und Prozessschritte im Überblick
3.3 Datensammlung mit Hilfe von Sensoren
3.4 Erkennungsmethoden des Analysemoduls
3.5 Maßnahmeoptionen des Reaktionsmoduls
3.6 Die Managementstation
3.7 Marktübersicht

4 Ausblick

Literaturverzeichnis

Übersichtsverzeichnis

Abbildung 1: Distributionkanäle für Malware der Jahre 2001-2003

Abbildung 2: Meilensteine bei der Entwicklung von Malware

Abbildung 3: Zusammenspiel von IDS Architekturkomponenten im Intrusion Detection Prozess

Tabelle 1: Vor- und Nachteile Netz- und Hostbasierter Sensoren

Tabelle 2: Vor- und Nachteile von Missbrauchs- und Anomalieanalyse

Abbildung 4: Magischer Quadrant für IDS

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Motivation und Zielsetzung

Unternehmen und Privatanwender sehen sich einer stetig wachsenden Zahl von Angriffen auf ihre Informationssysteme gegenüber. Eine Vielzahl dieser Angriffe wird durch im Internet freigesetzte Malware verursacht, die bereits andere Informationssysteme erfolgreich angegriffen hat. Jedoch setzen Angreifer zunehmend auch auf die Möglichkeiten leicht zugängiger Malware, um kommerzielle und private Systeme gezielt zu kompromittieren.

Konzerne und ihre Mitarbeiter sind in zunehmendem Maße auf eine funktionstüchtige IT-Infrastruktur angewiesen. Vor diesem Hintergrund reichen Firewalls und Antivirenlösungen als Sicherheitsbarrieren zwischen vertrauenswürdigen Netzen und dem Internet nicht mehr aus. Hinzu kommen Bedrohungen durch interne Angriffe, die in ihrer Gefährlichkeit noch höher eingestuft werden können. Nur durch die Kombination mehrerer Sicherheitsmechanismen kann ein ausreichender Schutz der informationstechnischen Infrastruktur gewährleistet werden. In den letzten Jahren haben sich deshalb Intrusion Detection Systeme in den Sicherheitsvorkehrungen vieler Unternehmen fest etabliert.

Die vorliegende Seminararbeit soll einen Überblick über die heute bekannten Formen von Malware geben und Trends in dieser Problematik aufzeigen. Besonderes Augenmerk wird jedoch der Thematik der Intrusion Detection Systeme beigemessen, indem detailliert Aufbau und Arbeitsweise dieser Systeme geschildert werden. Auf dieser Basis soll die Arbeit letztlich auch aufzeigen, welche Möglichkeiten mit Hilfe von Intrusion Detection Systemen bestehen, Malware erfolgreich zu erkennen.

2 Malicious Software

Nach einer einleitenden Begriffsdefinition widmet sich dieses Kapitel den verschiedenen Verbreitungswegen und Typen von Malicious Software. Außerdem werden eine Reihe von Entwicklungstrends herausgestellt.

2.1 Begriffsdefinition und Verbreitungswege

Malicious Software (Malware) bezeichnet eine Menge von Instruktionen, die mit der Intension entwickelt wurden, Schaden auf Computersystemen oder in Computernetzwerken zu verursachen. Malware wird typischer Weise ohne explizite Zustimmung bzw. Kenntnis des Benutzers ausgeführt.

Am häufigsten wird Malware via Emailanhang verbreitet. Ein verbessertes Filtern der Anhänge, konnte zumindest einen weiteren Anstieg im Jahr 2003 verhindern. Laufwerke, die von mehreren Benutzern genutzt werden (mapped und shared drives), scheinen sich als Standarddistributionsmethode etabliert zu haben. Auch verschiedene Messenger Dienste (MSN Messenger, ICQ) und mIRC werden zur Distribution von Malware zu Hilfe genommen. Außerdem nutzen Angreifer die bekannten Schwachstellen von Webservern (z. B. IIS).^[1]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Distributionskanäle für Malware der Jahre 2001-2003,

Quelle: Trend Micro (2003), S. 6

2.2 Typen von Malware

Bei der Wahl der Verteidigungsmechanismen ist die Kenntnis der unterschiedlichen Charakteristiken von Malware von entscheidender Bedeutung. Malware kann aufgrund ihrer durchaus komplexen Funktionalität sogar Charakteristiken mehrerer Typen aufweisen. Folgende Typen können prinzipiell identifiziert werden:

- Viren
- Würmer
- Hintertüren (Backdoors)
- Trojanische Pferde
- Angriffsskripte (Attack Scripts)
- Rootkits auf Benutzer- oder Kernellevel
- Malicious ActiveX Controls, Scripts und Java Applets

Viren sind selbst replizierender Programmcode, der sich einmal vom Benutzer angestoßen, an anderen Programmcode (sog. Wirte oder auch Hosts) an- bzw. einfügt. Zusätzlich besitzen die meisten Viren Routinen, die dem Benutzer oder dem System in irgendeiner Weise Schaden zufügen. Computerviren versuchen durch Polymorphie- und Stealthtechniken signaturbasierten Erkennungsmethoden zu entgehen.

Würmer sind ebenfalls selbst replizierender Programmcode. Sie benötigen jedoch – im Unterschied zu Viren – wenig oder keine menschliche Interaktion, um sich zu verbreiten. Würmer nutzen stattdessen vor allem Schwachstellen oder Falschkonfigurationen von Systemen und vom Wurm verschickte Emails (sog. Mass Mailing Worms), um Computer typischer Weise über Netzwerke zu infizieren. Ein Wurm kombiniert dabei Komponenten zum

- Eindringen in das System über Schwachstellen (Warhead),
- Übertragen des restlichen Wurmcodes (Propagation Engine),
- Identifizieren neuer Zielrechner (Target Selection Algorithm),
- Scannen identifizierter Ziele auf Schwachstellen (Scanning Engine) und
- Ausführen von Aktivitäten, die primär nicht der weiteren Verbreitung dienen (Payload).^[2]

Versteckte Hintertüren (Backdoors) sind Software- oder Hardwaremechanismen, die es einem Angreifer ermöglichen, durch Umgehen der Sicherheitsbarrieren Zugriff auf ein Computersystem zu erlangen.^[3] Der Zugriff des Angreifers auf das kompromittierte System erfolgt in der Regel über eine Shell, Kommandozeile oder GUI, die von einem entfernten Computer aus gesteuert wird (Remote Zugriff). Hintertüren können aber auch einem einfachen Benutzer Administrator Rechte auf einem System ermöglichen.^[4]

Trojanische Pferde sind Programme, die vorgeben einem harmlosen Zweck des Anwenders zu dienen, aber es in Wirklichkeit ermöglichen, das System des Anwenders zu kompromittieren oder dem System Schaden zuzufügen.^[5] Wrapper Tools ermöglichen in diesem Zusammenhang die Vereinigung mehrerer Programme, so dass harmlose Programme mit Malware versehen werden können.^[6]

Als Angriffsskripte werden Programme bezeichnet, die Sicherheitsschwachstellen von Systemen ausnutzen, um diese typischer Weise über Netzwerke anzugreifen. Von erfahrenen Experten entwickelt und veröffentlicht, werden sie in aller Regel von unerfahrenen Angreifern eingesetzt. Buffer Overflow Schwachstellen gehören zu den häufigsten Zielen von Angriffsskripten.^[7]

User-Mode Root Kits sind eine spezielle Art von Trojanischen Pferden, die – zum Teil kritische – Applikationen des Betriebssystems ersetzen und so dem Angreifer Zugang zum System verschaffen und seine Spuren verwischen. Ursprünglich für UNIX Systeme entwickelt (z. B. das Universal RootKit), wurden Root Kits zunehmend auch für MS Windows erstellt.^[8] Unter MS Windows basieren User-Mode Root Kits u. a. auf folgenden Techniken:

- Überschreiben von Betriebssystemdateien nach Abschaltung der Windows File Protection und
- Manipulation von Prozessen im Speicher durch DLL Injection.^[9]

Kernel-Mode Root Kits gehen noch einen Schritt weiter, indem sie Manipulationen direkt am Kernel des Betriebssystems ansetzen. Unter Linux können beispielsweise folgende Techniken eingesetzt werden:

[...]

^[1] Vgl. Trend Micro (2003), S. 5

^[2] Vgl. Skoudis, E./ Zeltser, L. (2003), S. 79ff

^[3] Vgl. Slade, R. (2004)

^[4] Vgl. Skoudis, E./ Zeltser, L. (2003), S. 189

^[5] Vgl. ebenda, S. 251

^[6] Vgl. ebenda ,S.267

^[7] Vgl. McGraw, G. / Morrisett, G. (2000), S. 2

^[8] Vgl. Skoudis, E./ Zeltser, L. (2003), S. 303ff

^[9] Vgl. ebenda, S. 346f