- 3 -

Inhaltsverzeichnis

  Übersichtsverzeichnis  4

Abk  ürzungsverzeichnis  4

1  Motivation und Zielsetzung  5

2  Malicious Software  6

2.1  Begriffsdefinition und Verbreitungswege  6

2.2  Typen von Malware  7

2.3  Trends bei der Entwicklung von Malware  10

3  Intrusion Detection Systeme  12

3.1  Begriffsdefinitionen  12

3.2  Architekturkomponenten und Prozessschritte im Überblick  13

3.3  Datensammlung mit Hilfe von Sensoren  15

3.4  Erkennungsmethoden des Analysemoduls.  17

3.5  Maßnahmeoptionen des Reaktionsmoduls.  21

3.6  Die Managementstation.  23

3.7  Marktübersicht  24

4  Ausblick  26

Literaturverzeichnis   27

- 4 - Übersichtsverzeichnis

Abbildung 1: Distributionkanäle für Malware der Jahre 2001-2003 ................................ 6 Abbildung 2: Meilensteine bei der Entwicklung von Malware ...................................... 10 Abbildung 3: Zusammenspiel von IDS Architekturkomponenten im Intrusion Detection

Prozess..................................................................................................................... 13 Tabelle 1: Vor- und Nachteile Netz- und Hostbasierter Sensoren.................................. 16 Tabelle 2: Vor- und Nachteile von Missbrauchs- und Anomalieanalyse........................ 20 Abbildung 4: Magischer Quadrant für IDS ..................................................................... 24

Abk ürzungsverzeichnis

DMZ Demilitarized Zone GUI Graphical User Interface IDS Intrusion Detection Systeme IDSG Intrusion Detection Subgroup IP Internet Protocol IPS Intrusion Prevention Systeme ISS Internet Security Systems NSTAC

TCP Transmission Control Protocol UDP User Datagram Protocol

- 5 - 1Motivation und Zielsetzung

Unternehmen und Privatanwender sehen sich einer stetig wachsenden Zahl von Angriffen auf ihre Informationssysteme gegenüber. Eine Vielzahl dieser Angriffe wird durch im Internet freigesetzte Malware verursacht, die bereits andere Informationssysteme erfolgreich angegriffen hat. Jedoch setzen Angreifer zunehmend auch auf die Möglichkeiten leicht zugängiger Malware, um kommerzielle und private Systeme gezielt zu kompromittieren.

Konzerne und ihre Mitarbeiter sind in zunehmendem Maße auf eine funktionstüchtige IT-Infrastruktur angewiesen. Vor diesem Hintergrund reichen Firewalls und Antivirenlösungen als Sicherheitsbarrieren zwischen vertrauenswürdigen Netzen und dem Internet nicht mehr aus. Hinzu kommen Bedrohungen durch interne Angriffe, die in ihrer Gefährlichkeit noch höher eingestuft werden können. Nur durch die Kombination mehrerer Sicherheitsmechanismen kann ein ausreichender Schutz der informationstechnischen Infrastruktur gewährleistet werden. In den letzten Jahren haben sich deshalb Intrusion Detection Systeme in den Sicherheitsvorkehrungen vieler Unternehmen fest etabliert.

Die vorliegende Seminararbeit soll einen Überblick über die heute bekannten Formen vo n Malware geben und Trends in dieser Problematik aufzeigen. Besonderes Augenmerk wird jedoch der Thematik der Intrusion Detection Systeme beigemessen, indem detailliert Aufbau und Arbeitsweise dieser Systeme geschildert werden. Auf dieser Basis soll die Arbeit letztlich auch aufzeigen, welche Möglichkeiten mit Hilfe von Intrusion Detection Systemen bestehen, Malware erfolgreich zu erkennen.

- 6 - 2Malicious Software

Nach einer einleitenden Begriffsdefinition widmet sich dieses Kapitel den verschiedenen Verbreitungswegen und Typen von Malicious Software. Außerdem werden eine Reihe von Entwicklungstrends herausgestellt.

2.1 Begriffsdefinition und Verbreitungswege

Malicious Software (Malware) bezeichnet eine Menge von Instruktionen, die mit der Intension entwickelt wurden, Schaden auf Computersystemen oder in Computernetzwerken zu verursachen. Malware wird typischer Weise ohne explizite Zustimmung bzw. Kenntnis des Benutzers ausgeführt.

Am häufigsten wird Malware via Emailanhang verbreitet. Ein verbessertes Filtern der Anhänge, konnte zumindest einen weiteren Anstieg im Jahr 2003 verhindern. Laufwerke, die von mehreren Benutzern genutzt werden (mapped und shared drives), scheinen sich als Standarddistributionsmethode etabliert zu haben. Auch verschiedene Messenger Dienste (MSN Messenger, ICQ) und mIRC werden zur Distribution von Malware zu Hilfe genommen. Außerdem nutzen Angreifer die bekannten Schwachstellen von Webservern (z. B. IIS). 1

¹ Vgl. Trend Micro (2003), S. 5

- 7 - 2.2Typen von Malware

Bei der Wahl der Verteidigungsmechanismen ist die Kenntnis der unterschiedlichen Charakteristiken von Malware von entscheidender Bedeutung. Malware kann aufgrund ihrer durchaus komplexen Funktionalität sogar Charakteristiken mehrerer Typen aufweisen. Folgende Typen können prinzipiell identifiziert werden:

• Viren

• Würmer

• Hintertüren (Backdoors)

• Trojanische Pferde

• Angriffsskripte (Attack Scripts)

• Rootkits auf Benutzer- oder Kernellevel

• Malicious ActiveX Controls, Scripts und Java Applets

Viren sind selbst replizierender Programmcode, der sich einmal vom Benutzer angestoßen, an anderen Programmcode (sog. Wirte oder auch Hosts) an- bzw. einfügt. Zusätzlich besitzen die meisten Viren Routinen, die dem Benutzer oder dem System in irgendeiner Weise Schaden zufügen. Computerviren versuchen durch Polymorphie- und Stealthtechniken signaturbasierten Erkennungsmethoden zu entgehen.

Würmer sind ebenfalls selbst replizierender Programmcode. Sie benötigen jedoch - im Unterschied zu Viren - wenig oder keine menschliche Interaktion, um sich zu verbreiten. W ürmer nutzen stattdessen vor allem Schwachstellen oder Falschkonfigurationen von Systemen und vom Wurm verschickte Emails ( sog. Mass Mailing Worms), um Computer typischer Weise über Netzwerke zu infizieren. Ein Wurm kombiniert dabei Komponenten zum

• Eindringen in das System über Schwachstellen (Warhead),

• Übertragen des restlichen Wurmcodes (Propagation Engine),

• Identifizieren neuer Zielrechner (Target Selection Algorithm),

• Scannen identifizierter Ziele auf Schwachstellen (Scanning Engine) und

- 8 - • Ausführenvon Aktivitäten, die primär nicht der weiteren Verbreitung dienen (Payload). 2

Versteckte Hintertüren (Backdoors) sind Software- oder Hardwaremechanismen, die es einem Angreifer ermöglichen, durch Umgehen der Sicherheitsbarrieren Zugriff auf ein Computersystem zu erlangen. ³ Der Zugriff des Angreifers auf das kompromittierte System erfolgt in der Regel über eine Shell, Kommandozeile oder GUI, die vo n einem entfernten Computer aus gesteuert wird (Remote Zugriff). Hintertüren können aber auch einem einfachen Benutzer Administrator Rechte auf einem System ermöglichen. 4

Trojanische Pferde sind Programme, die vorgeben einem harmlosen Zweck des Anwenders zu dienen, aber es in Wirklichkeit ermöglichen, das System des Anwenders zu kompromittieren oder dem System Schaden zuzufügen. ⁵ Wrapper Tools ermöglichen in diesem Zusammenhang die Vereinigung mehrerer Programme, so dass harmlose Programme mit Malware versehen werden können. 6

Als Angriffsskripte werden Programme bezeichnet, die Sicherheitsschwachstellen von Systemen ausnutzen, um diese typischer Weise über Netzwerke anzugreifen. Von erfahrenen Experten entwickelt und veröffentlicht, werden sie in aller Regel von unerfahrenen Angreifern eingesetzt. Buffer Overflow Schwachstellen gehören zu den häufigsten Zielen von Angriffsskripten. 7

User-Mode Root Kits sind eine spezielle Art von Trojanischen Pferden, die - zum Teil kritische - Applikationen des Betriebssystems ersetzen und so dem Angreifer Zugang zum System verschaffen und seine Spuren verwischen. Ursprünglich für UNIX Systeme entwickelt (z. B. das Universal RootKit), wurden Root Kits zunehmend auch für MS

² Vgl. Skoudis, E./ Zeltser, L. (2003), S. 79ff

³ Vgl. Slade, R. (2004)

⁴ Vgl. Skoudis, E./ Zeltser, L. (2003), S. 189

⁵ Vgl. ebenda, S. 251

⁶ Vgl. ebenda ,S.267

⁷ Vgl. McGraw, G. / Morrisett, G. (2000), S. 2