Keine Chance gegen Malware: die schlimmsten Einfallstore

Es dürfte unmittelbar klar sein, dass man illoyale Mitarbeiter identifizieren kann, die gegen Bezahlung bereit sind, vertrauliche Daten zu stehlen. Ein unauffälliger USB-Stick mit 64 GByte Kapazität ist leicht mit nach Hause genommen. Das gleiche gilt für Mitarbeiter, bei denen es normal ist, dass sie ihren Notebook mit auf Dienstreise nehmen.

Die gängigen DLP-Lösungen (Data Loss Prevention oder Data Leakage Protection) helfen dabei überhaupt nicht. Sie legen meist nur einen Hook auf das CopyFile-API. Normalerweise reicht es aus, eine Datei sequentiell in den Hauptspeicher zu lesen, die Daten mit 0xFF zu XORen und das Ergebnis auf einen Datenträger zu schreiben. Wendet man dieselbe XOR-“Verschlüsselung” ein zweites Mal an, erhält man wieder die ursprüngliche Datei. Ein solches DLP-sicheres Kopierprogramm benötigt etwa zehn Zeilen Code.

Damit eine Sicherheitslücke produktiv ausgenutzt werden kann, muss ein Angreifer möglichst viel über das Unternehmen wissen, das er ausspionieren möchte. Hier besteht die Gefahr, dass Mitarbeiter unbewusst Informationen preisgeben, die man besser für sich behält. Wenn man etwa auf dem örtlichen Administratorstammtisch gefragt wird, welche Antiviren-Lösung und welche Security-Appliance installiert ist, sollte man acht geben, wem man antwortet.

Diese Informationen sind wertvolle Hinweise für professionelle Datendiebe, welche Sicherheitslösungen sie austricksen müssen. Um etwa einen Pufferüberlauf ausnutzen zu können, hat ein Angreifer nur dann Erfolg, wenn er die genaue Version des Betriebssystems inklusive Sprachversion und Patchstatus kennt.

Dasselbe gilt für das angegriffene Programm, etwa Internet Explorer oder Adobe Acrobat Reader. Ein illoyaler Mitarbeiter, der einem Hacker Programmdateien und Windows-DLLs von Arbeitsplatzrechnern übermittelt, liefert wichtige Hinweise, wie ein Unternehmen von außen unbemerkt angegriffen werden kann.

Neueste Kommentare 

2 Kommentare zu Keine Chance gegen Malware: die schlimmsten Einfallstore

  • Am 28. Januar 2010 um 13:44 von Sicherer

    Guter Artike
    Ich hätte mir jedoch zu den einzelnen Themen noch ein wenig mehr Tiefgang gewünscht. Ansonsten sehr informativ.

  • Am 25. Februar 2010 um 19:16 von Subvirt

    Dieser Artikel befasst sich nur mit sehr bekannten Bedrohungen, jedoch wird hier eine wirkliche zukünftige Bedrohung nicht erwähnt. VMBR (Subvirt, usw…)
    Diese Virtual Machine Based Rootkits sind eine wirklich grosse Bedrohung, hat man sich sowas einmal eingetreten bzw. sich damit infiziert, wird man sowas nur sehr schwer bis gar nicht mehr los.

    Das echte Betreibssystem wird vom Hacker kontrolliert und man selbst arbeitet in einem virtuellen Betreibssystem ohne es zu merken! (OS wird kontrolliert gestartet und startet danach die VM; Bootvorgang nur unwesentlich länger)

    Keine AV oder Sicherheitslösung fängt diese Infektion auf oder verhindert sie, da sie über infizierte Werbebanner (durch anklicken), Animationen usw… ins System eindringt. Danach ist es ohnehin zu spät, weil die AV in der virtuellen Umgebung nur das anzeigt was der Hacker will, also nichts.

    Mit diversen Tools wie unter Antirootkit.com ( Gmer.net usw….) findet man zwar die Infektion, aber meistens reicht ein sicheres Löschen der HDD mit Spezialsoftware nicht aus, da es sich auch im BIOS festsetzt (BIOS unbedingt duch Passwort vor unbefugten flashen sichern) und den Laptop, PC von Anfang an kontrolliert!!!

    Weiters:
    http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit
    http://www.eecs.umich.edu/~pmchen/papers/king06.pdf
    http://www.fruehwarnung.at/ (Virtual Machine based Rootkits (Erscheint im November 2009 im Trauner Verlag, Linz in Kooperation mit dem Lex:itec Verlag))
    http://www.trapkit.de/

    mfg

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *