level: 2 Malware
Questions and Answers List
Folien VL 2
level questions: 2 Malware
| Question | Answer |
|---|---|
| Malware Trends | Professionelle Wirtschaft Automatische Updates neue Schadroutinen Tarnmechanismen Verschlüssung der Schadprogramme Erkennung von Sandbox-Umgebungen Grenzen von Spyware, Virus und Wurm verschwimmen Kommertielle Exploit-Toolktis Social Engineering |
| Arten/Typen von Malware | Computer Virus Trojaner Wurm Adware / Spyware Rootkits |
| Malware (malicious software) | Schadsoftware Bösartiges Programm beeinträchtigt Software verändert Funktionalität |
| Malware: Verbreitung/Mechanismus | selbstreplizierend im Netz E-Mail Social Media schädliche Websites physische Weitergabe |
| Malware: Was tut Bösartige Software/ in einer Schadroutine? | Löschen den Festplatte Verschlüsslung der Festplatte Abgreifen von Zugangsdaten, Keylogger Botnet Integration für Spam-Versand Botnet Integration für DDoS-Angriffe Botnet Integration für Hosting von illegalem Content |
| (Computer) Virus - Typen und Phasen | infiziert Wirtsprogramme durch einfügen von Code Insertion, execution Phase, Replication Bootvirus Dateivirus Makrovirus |
| Strategien von Viren zum Verstecken | Verschlüsselung Polymorphie Metamorphie |
| Dateivirus | infiziert ausführbares Programm oder Programmbiliotheken Aktionen des Virus abhängig von äußeren Faktoren |
| verschlüsselter Virus | ist verschlüsselt bis auf Verschlüsselungsroutine erster Schritt zu polymorphen Viren größtenteils zufälliger String Erkennung über Verschlüsselungsroutine möglich |
| Polymorpher Virus | Virus verändert sich während Replikation Mutation Engine verändert Encryption Signatur-basierte Erkennung nicht möglich Virus Body ändert sich, bleibt im RAM gleich nutzt Code Obfuscation, Garbage Code |
| Metamorpher Virus | schreibt sich neu während der Replikation Übersetzung des binären Viruscodes in eine Metasprache Obfuskierung in form von umsortieren von Subroutinen Kompilierung im Binärcode Virus Code im Ram immer unterschiedlich |
| Trojaner | besitzt eine heimliche Funktion benötigt Mitarbeit des Anwenders |
| Wurm | Schadprogramm welches sich selbst verbreitet benötigit kein Wirtprogramm |
| Ransomeware | Erpressungstrojaner Verschlüsselt Daten und verlangt Lösegeld Vebreitung als Tojaner oder Computernetze oder Wechselmedien |
| Welche Botnet-Architekturen gibt es? | - Sternstruktur: Angreifer koordiniert mit einem C&C Server das Botnet - Multi-Server Struktur: Angreifer kontrolliert mehrere C&C-Server, Bots kennen mehrere - Hierachische Struktur: Kommunikation zwischen Bot und C&C erfolgt über mehrere Proxy-Server - Dezentrale Botnetze: P2P (Peer to Peer), Bots sind Client und Server, Master logit sich als Peer ein |
| Botnet | Schadprogramme auf verschienden Rechnern, um Funktionen fernzusteuern - verschleiert Herkunft - versendet Mails - führt DDoS-Angriffe aus - Klickbetrug - Verteilter Speicher - Verteiltes Rechnen / Crypto Rechnen |
| Dezenztale Botnetze | - jeder Peer (Bot) ist Client und Server, alle sind gleichberechtigt |
| Backdoor | - Geheime Funktionalität in einer Software - Umgehung der normalen Authentifizierung |
| Rootkit | - Manipuliert teile des Betriebssystems - installiert Tools, um unberechtigte Zugriffe zu ermöglichen und Prozesse zu verbergen |
| Adware / Spyware | - Advertisement Software / Spy Software - wird mit anderer Software erstellt - wertet Verhalten des Nutzers aus - blendet Werbung ein - Auswertung geschieht zu Werbezwecken (Verlust von Privatssphäre) - Adware: Nutzer gibt seine Einwilligung "freiwillig" - Spyware: Sendet Daten ohne Zustimmung des Nutzers |
| Advanced Persisten Threat (APT) | - Komplexer, zielgerichteter, langfristiger Angriff - Advanced: Angreifer hat viele Rescourcen - Persistent: unberechtigter Zugriff auf Opfersysteme über langen Zeitraum - Threat: Angreifer verfolgt klares Ziel und sind qualifiziert |
| APT - Zielgruppen | - Kritische Infrastruktur - Staatliche Behörden - Universitäten - Groß- und Mittelstandunternehmen |
| APT - Vorgehen | 1. Ziel Auswählen 2. Informationen sammeln 3. Eintrittspunkt 4. Malware auf Computer 5. Rechte erweitern 6. Command & Control Kommunikation 7. Ausbreitung 8. Assets finden 9. Daten ausleihen 10. Spuren verwischen |
| Schutzmaßname - Firewall | Kontrolle des Netzwerkes zwischen Internet und einem internen Netz Typen: Zustandslose Paketfilter, Zustandsbehaftete Paketfilter, Application Level Firewall, Next Generation Firewall |
| Schutzmaßname - Virenscanner | Software zur Erkennung, Deaktivierung und Löschung von Malware Erkennungsmethoden: statische Signaturen, Heurisitken, Sandboxing Typen: Echtzeitscanner, Manueller Scanner |
| Schutzmaßnahme - IDS | Intruion Detection Software Erkennung von Angriffen Generierung von Warnmeldungen False Positives, false Negatives |
| Schutzmaßnahme - IPS | Intrusion Prevention System zusätzliche Unterbindung von Angriffen |
| Schutzmaßnahme - Honeypot | Scheinbar verwundbares System, soll angreifer anlocken Ablenkenken von Angreifern vom eigentlichem Ziel Sammeln von Maleware Analyse typischer Angriffsmuster und -methoden |
| Arten von Honeypots | High-Interaction Server Honeypot Low-Interaction Server Honeypot |
| Schutzmaßname - Pentesting | Testung von Angriffen auf ein System zur Sicherheitsevalutation Ziel: Identifikation von Schwachstellen, Erhöhung der Sicherheit |