GLF

[Leon]

Hallo liebe GLF'ler,
Nach langer Zeit, habe ich gedacht, das ich mich auch mal wieder beteiligen könnte. Da es ja in den letzten Monaten immer wieder mal zu Angriffen auf verschiedene Foren kam, und zum Thema Dos auch einige Fragen gestellt wurden, stelle ich mal das was ich darüber weiß hier ein.


1.Was ist ein DoS-Angriff.

Bei einem DoS (Denial of Service) wird ein Webserver mit anfragen überflutet, bis dieser sich aus Sicherheitsgründen abschaltet. Ein solcher Angriff kann unterschiedlich Stark ausfallen, je nachdem wie er durchgeführt wird. Ein DoS ist nur dazu geeignet um Webserver offline zu bringen, an Daten kommt der Angreifer hiermit nicht heran, den auch für Hacker ist dieser Server für die Dauer des Angriffs nicht erreichbar. Ist der Angriff Vorbei, hat der Admin die volle Kontrolle zurück.

2. Der Ablauf eines Dos-Angriffs.

Ein einzelner ist kaum in der Lage einen erfolgreichen Angriff durch zu führen, da er nicht die ausreichende Menge an Anfragen an den Server senden kann um diesen lahm zu legen. Es ist also entweder Nötig, sich mit anderen Abzusprechen, oder auf Sogenannte Bot's oder Zombies zurück zu greifen Ein Bot ist ein, mit einem Trojaner infiziertem Rechner, der auf die Kommandos der Hostrechners (Angreifers) wartet und dann die entsprechenden Anfragen an den Server Sendet. Die meisten Trojaner, welche einen Rechner zu einem Zobie mutieren lassen sind sehr einfach programmiert und werden leicht von Antivirensoftware erkannt und unschädlich gemacht. Aber es ist auch nicht wirklich schwer, wirklich gemeine kleine Biester zu schreiben, welche sich selbstständig in eure Registry eintragen und so über den Autostart, mit eurem Betriebssystem starten. Dieser Trojaner meldet sich dann Sofort beim Angreifer und teilt ihm mit das er Online ist. Läuft gerade ein Angriff, bekommt der Bot die Anweisung sich zu beteiligen. Kommt keine Anweisung, da kein Angriff läuft, oder die Anzahl der voreingestellten Bot's erreicht ist, wartet er auf Anweisungen.

Während eines Angriffes, kann es vorkommen, dass der Bot-Rechner langsamer wird, das kann ein erster Hinweis für den Nutzer sein, das sein Rechner befallen ist. Auch das Flackern der Cursors, kann ein Hinweis sein.
wenn man sich nicht sicher ist, ob man sich einen Trojaner eingefangen hat, gibt es mehrere Möglichkeiten das zu überprüfen.

Öffnet den Autostart Ordner und last euch auch die "versteckten" Programme anzeigen. Ist hier etwas das euch verdächtig vorkommt, überprüft was es für ein Programm ist (Google hilft). Findet ihr keine Antwort dann löscht das Programm und mach einen ausführlichen VirenScan.

Hilfreich ist auch das Programm Search Bot and Destroy, welches ein breite Band an Bot's erkennt und sie zuverlässig entfernt.

Einige Bot's verhindern, das Herunterladen von z.B. Avira, Avast und Search Bot and destroy. Ist es bereits so weit, bleibt meist nichts anderes Übrig, als eine komplette Neuinstallation des Systems.

Wie kommt man an die Angreifer heran?

Leider ist es fast nicht mehr möglich die Urheber eines solchen Angriffes zu ermitteln. Sie gehen heute wesentlich geschickter vor als noch vor einigen Jahren. Als Beispiel.

Die DoS Software WAR-Bot (auch bereits veraltet).
War bot erstellt einen Trojaner, der mit einem Webserver in Verbindung steht, auf diesem Webserver ist dann das Webinterface von WAR-Bot gehostet. Natürlich ist dieser Host Anonym und wurde über Tor angelegt und mit Falschen Daten versehen. Da der Bot nun nicht mit dem Angreifer sondern nur mit dem Webserver kommuniziert und der Angreifer das Webinterface nur mit Tor nutzt, ist es eben kaum Möglich den Angreifer aus zu machen.

Was kostet das den Angreifer?
Weil es die Software überall im Netz auch kostenlos gibt, kostet es den Angreifer außer ein wenig Zeit nichts. Er lädt sich die Software herunter, installiert, verteilt seinen Trojaner, macht alle nötigen Einstellungen und der Angriff läuft, bis er ihn stoppt oder alle Bot's entdeckt und entfern wurden.

Wie werden die Trojaner verteilt?

Leider gibt es sehr viele Möglichkeiten Trojaner in oder hinter anderen Dateien oder Programmen zu verstecken. Im Grunde kann hinter jeder Datei ein Trojaner Stecken, welcher ausgeführt wird, wenn man die Datei anklickt. das Kann eine Mp3, ein Bild oder was auch immer sein. Lädt man sich z.B. ein Rar oder Zip Archiv herunter, ist es sinnvoll, zu überprüfen, ob sich in diesen Archiv Versteckte Ordner oder Dateien befinden. Auch auf die Datei Namen sollte man achten. Niemals ein Bild mit einem Namen wie Bild.exe.jpg öffnen.
Das waren alles sehr einfach zu erkennende Beispiele, aber auch schon der Besuch einer Webseite kein einem einen Trojaner bescheren, wird in die Webseite ein "Forced Download" eingebaut, lädt euer Rechner den Trojaner über ein FTP-Verbindung herunter. Das ganze geschieht über den Passiven Modus und die Datei kann direkt in eurem Systemstart gespeichert werden, beim nächsten hochfahren, installiert sich das ganze, ohne das ihr etwas davon mit bekommt.

Das schlimme an dieser Methode ist, das durch diese Verbindung auch Tor umgangen wird. auch der Trojaner nutzt von sich aus natürlich nicht das Tor.Netz und kann so Informationen wie Eure IP, Betriebssystem und Nutzer sowie den Computernamen an den Angreifer übermitteln. Steht der Benutzername oder der Computername im Bezug zum Realnamen, dann hat der Angreifer die Identität der Nutzers und die Anonymität ist Geschichte.

Ich möchte mit diesem Beitrag keine Panik verbreiten, dazu besteht auch kein Grund, es ist aber wichtig sich damit zu beschäftigen und die Anzeichen erkennen zu können um zu verhindern, das man Opfer von Hackern wird.
das wozu der Bundestrojaner in der Lage war, ist anderen schon lange möglich und leider noch viel mehr.

Ich bin mir sicher, das es hier einige gibt, die zu dem Thema besser bescheid wissen als ich und noch einiges ergänzen oder berichtigen können. Ich wollt das Thema hiermit nur mal lostreten.

Gruß
Leon

Der Link führt euch zum ORIGINAL Download von Search Bot and destroy
http://www.safer-networking.org/en/download/

[Horizonzero]

Danke Leon- gute Beschreibung.

[Ovid]

Bei einem DoS (Denial of Service) wird ein Webserver mit anfragen überflutet

Nein. Nicht unbedingt. Das ist schon zu spezifisch. Eine DoS-Attacke für sich genommen bedeutet nur, dass das effektive Ziel der Attacke ist einen Service, also ein informationstechnisches Angebot lahmzulegen, sodass es nicht mehr nutzbar ist. Also der Nutzerbasis den Zugang zu verwehren (Denial).

Das kann entweder eine Überlastungsattacke durch Anfragenüberflutung sein.

Das kann aber auch das Ausnutzen eines Fehlers im Protokoll, in der Software, oder im Übertragungskanal sein, sodass der Service abstürzt, leerläuft, nicht mehr antwortet oder in der Funktionalität dermaßen beeinträchtigt ist, dass der Service nicht mehr nutzbar ist.

Der Service muss auch kein Webervice sein. Es kann ein Email-Service, ein RSS-Service, SSH, telnet, RDP, FTP, DNS, IRC, Messenger, VoIP, Streaming-Service oder genaugenommen, wenn man mal die Internet-Welt verlässt, sogar der Zigarettenautomat oder das Navigationssystem sein. Also jedes "informationstechnische Angebot" an eine Benutzerschaft.

, bis dieser sich aus Sicherheitsgründen abschaltet.

Nicht jeder Service verfügt über Selbstabschaltungsprotokolle. Denkbar sind auch Leerläufe, unerträglich langsame Abarbeitung, Verwerfen von Paketen usw., die den Service unbenutzbar machen.

an Daten kommt der Angreifer hiermit nicht heran

Richtig. Auf system-interne Daten kommt man nicht heran.
Allenfalls auf strukturelle Daten. Beispielsweise die Kapazitäten des Services kann man austesten, indem man bei einer Überlastungsattacke die Frequenz der Anfragen sukkzessive erhöht o.ä.

Ein einzelner ist kaum in der Lage einen erfolgreichen Angriff durch zu führen, da er nicht die ausreichende Menge an Anfragen an den Server senden kann um diesen lahm zu legen.

Das kommt auf mehrere Faktoren an. Das kann man nicht verallgemeinern.
Ein einzelner User könnte ja beispielsweise bei einer Überlastungsattacke einen höheren Upstream haben, als die Downstream-Kapazität des Services.
Es gibt einige Attacken bei denen der Aufwand des Clients weit niedriger ist, als der Verarbeitungsaufwand des Servers (SlowLoris, reflective DoS,...)

Es könnte sich aber wie oben gesagt auch um eine andere Form des DoS handeln. Fehler im Protokoll bringen beispielsweisen den Service zum abstürzen.

Öffnet den Autostart Ordner und last euch auch die "versteckten" Programme anzeigen.

Zu empfehlen ist:
http://technet.microsoft.com/en-us/sysi ... s/bb963902

Alle Autostart-Methoden im Überblick.

Im Grunde kann hinter jeder Datei ein Trojaner Stecken, welcher ausgeführt wird, wenn man die Datei anklickt. das Kann eine Mp3, ein Bild oder was auch immer sein.

Nein. Das stimmt so nicht. Es kann zwar sein, dass bestimmte Software Fehler beim Interpretieren von bestimmten Dateien macht und man somit das Format eines Dateityps so manipulieren kann, dass die Anzeige-Software den Schadcode innerhalb der Datei ausführt, aber es ist nicht per se möglich. Es ist für solche Dateiformate nicht vorgesehen, dass sich ausführbare Inhalte darin befinden.

Beispielsweise gab es solche Fehler (exploits) häufiger in den alten OfficeWord Versionen, die das Format (*.doc) öffnen oder beim Acrobat-Reader (*.pdf) .

Öffenete man allerdings die *.doc Datei mit einer neueren Version von Office oder mit einer ganz anderen Software (OpenOffice Writer) dann wird der Schadcode nicht ausgeführt, weil diese Programmversionen diesen Fehler nicht mehr haben.
Natürlich kann umgekehrt auch Office Writer den Fehler haben (und den Schadcode ausführen) aber Word dagegen nicht.

Auch kann es sein, dass die Software gegen Fehler X immun ist, weil es behoben wurde, aber gegen Fehler Y noch nicht. Wird in der pdf nur versucht Fehler X auszunutzen, passiert nix, solange nicht auch Fehler Y in der Dateimanipulation Anwendung findet.

Deswegen ist es wichtig seine Software ständig auf dem neusten Stand zu halten, weil in neueren Versionen solche Fehler ausgebügelt werden.

Es gibt natürlich Formate, die sehen von sich aus vor, dass ausführbarer Code ausgeführt wird. Das ist wieder eine andere Sache.
Dazu gehört bekanntermaßen: *.exe, *.com, *.pif, *.bat, *.vbs, *.scr, ...

Lädt man sich z.B. ein Rar oder Zip Archiv herunter, ist es sinnvoll, zu überprüfen, ob sich in diesen Archiv Versteckte Ordner oder Dateien befinden.

In den Optionen der meisten Archiv-Programme kann man die Anzeige versteckter Ordner und Dateien einschalten. Dasselbe gilt für den Windows Explorer.
Es sei auch gesagt, dass das alleinige entpacken versteckter Dateien noch nicht dazu führt, dass man infiziert wird. Der Schadecode muss auch ausgeführt werden damit es zur Infektion kommt.

Auch auf die Datei Namen sollte man achten. Niemals ein Bild mit einem Namen wie Bild.exe.jpg öffnen.

Gesetzt dem Falle, dass man die Ausblendung bekannter Dateinamen im Explorer ausgeschaltet hat, wäre so etwas wie Bild.exe.jpg vollkommen unbedenklich, denn:

Wenn es sich um ein Bild handelt, muss (wie oben erläutert) ein Programmfehler in dem JPG-Anzeige-programm vorhanden sein und das Format dementsprechend manipuliert sein.
Ist es allerdings kein Bild, sondern eine exe, dann meldet das JPG-Anzeige-programm einen Fehler und nichts passiert.
Heißt die Datei allerdings Bild.jpg.exe ist das erst gefährlich, denn die Symbole von ausführbaren Exe-Dateien können dem der JPG identisch gemacht werden. Ist zudem noch die Ausbledung bekannter Dateitypen eingeschaltet im Explorer, sieht es wirklich wie ein Bild-Dateiformat aus. Nur, dass ausnahmsweise die vermeintliche Dateiendung (jpg) angezeigt wird, fällt dann auf. (Da diese ja eigentlich ausgeblendet sein sollt)

Das waren alles sehr einfach zu erkennende Beispiele, aber auch schon der Besuch einer Webseite kein einem einen Trojaner bescheren, wird in die Webseite ein "Forced Download" eingebaut, lädt euer Rechner den Trojaner über ein FTP-Verbindung herunter. Das ganze geschieht über den Passiven Modus und die Datei kann direkt in eurem Systemstart gespeichert werden, beim nächsten hochfahren, installiert sich das ganze, ohne das ihr etwas davon mit bekommt.

Das ist quatsch. Und Aktiver- und Passiver Modus beim FTP protokoll haben ganz andere Bedeutungen, als du sie hier skizzierst. FTP braucht zwei simultane Verbindungen. Die Kontroll-Verbindung und die Daten-Verbindung.
Beim aktiven Modus sendet der Client seine eigene IP und öffnet einen Port für die Zweitverbindung, beim passiven Modus öffnet und sendet der Server eine Portnummer für die Zweitverbindung.
Der aktive Modus würde hinter einer NAT (bei den meisten Homeusern der Fall, also hinter Router) sowieso fehlschlagen, weil der Client versucht die private statt die öffentliche IP-Adresse zu schicken.
Es funktioniert in den meisten Fällen sowieso nur der passive Modus.

Auch liegt es nicht im Entscheidungsrahmen des WebServers einen FTP Download zu initiieren, erst recht nicht in einen beliebigen Ordner, geschweige denn Autostart.

So wie du es schreibst, stimmt es einfach nicht.

Das schlimme an dieser Methode ist, das durch diese Verbindung auch Tor umgangen wird.

Nein. Das passiert nur, wenn man seine Clients fehlkonfiguriert. Beispiel: Wenn man beim Browser, der auch FTP unterstützt, TOR nur beim HTTP proxy einträgt.
Konfiguriert man jedoch einen SOCKS4a Proxy für alle Verbindungen geht auch FTP über TOR.

Ich bin mir sicher, das es hier einige gibt, die zu dem Thema besser bescheid wissen als ich und noch einiges ergänzen oder berichtigen können.

Gern geschehen.

[Leon]

Hi Ovid,

ich habe die Erklärung zum Dos-Angriff mit Absicht oberflächlich gehalten und bin nicht auf alle Möglichkeiten eingegangen um es auch denjenigen etwas näher zu bringen, die sich mit dem Thema noch nie befasst haben.

Das nicht jeder Server aus Sicherheitsgründen Selbst abschaltet und diese Funktion von einem Betreiber genutzt wird und vom nächstem wieder nicht weiß ich auch, allerdings ist bei einem ausreichen starkem Angriff das Resultat das gleiche, der Server ist Down.

Was die Verbreitung von Trojanern angeht, kann man eben doch fasst jede Datei nutzen, um einen Trojaner damit zu verbergen Ob man das nun durch das verstecken in einem Archiv, ein Binding, oder über das einfügen in den Dateicode selbst macht. Aber alle diese Method lassen sich erkennen, wenn man aufpasst.

Das übertragen von einer Webseite ist etwas sehr viel komplizierteres, es stimmt, dass das von einem Webserver nicht bewerkstelligt werden kann, aber es gibt Anwendungen die man auf dem Server laufen lassen kann und die das möglich machen. Ich selber bin noch nicht wirklich dahinter gestiegen, wie das ganze funktioniert. Und es gibt einige, die sich daran die Zähne ausbeißen, aber möglich ist es dennoch. Solche Webanwendungen lasen sich aber durch Nonscript unschädlich machen. Auf den Webseiten sind sie nämlich als Javascrit eingebunden. Ein Prog mit Registry Key, welches sich selbst in den Autostart Kopiert, zu schreiben, ist nicht schwer, das habe selbst ich schon geschafft. Der Client eines RAT's, den ich mal zu Testzwecken geschrieben habe, ist so ein Programm. Er Installiert sich nach dem Entpacken des Archivs oder dem Öffnen einer bestimmten Datei im gleichem Ordner und startet dann bei jedem Systemstart. Im Taskmanager ist er nicht zu sehen und im Startprogrammordner ist er versteckt. Auf deren Rechnern einiger Bekannter (denen ich gesagt habe, das sie einen Trojaner von mir haben), ist er seid über einem halben Jahr unentdeckt. Ich muss dazusagen, das das ganze teil einer Wette ist und keine Böse Absicht dahinter steckt. Aber es zeigt eben, das es eben genügend Leute gibt, die eben nicht auf die Idee kommen im Autostart die versteckten Dateien anzeigen zu lassen. Das wäre nämlich der recht einfache weg den Rat zu entdecken und zu löschen.

Am sichersten ist man wohl, wenn man sein System regelmäßig gründlich überprüft, den Trojaner usw. werden von Hackern so erstellt und vertrieben, das Nutzer nicht merken, wenn sie ihn sich eingefangen haben. Und diese Leute Lernen Ständig dazu. Und ganz ehrlich, so weit wie die Meisten von uns, sind die schon lange.

Ich glaube es kann nicht schlecht sein, andere, die sich nicht so gut auskennen wie du auf evtl. Risiken aufmerksam zu machen, auch wen diese vielleicht ( Webanwendungen ) erst in Zukunft zum Problem werden könnten.

[Ovid]

ich habe die Erklärung zum Dos-Angriff mit Absicht oberflächlich gehalten

Es gibt einen Unterschied zwischen oberflächlich und falsch.
Du hättest beispielsweise sagen können, dass du nur eine bestimmte DoS Attacke beschreibst.
Es war aber zu keinem Zeitpunkt ersichtlich, dass es sich um keine Verallgemeinerung handelt.

Was die Verbreitung von Trojanern angeht, kann man eben doch fasst jede Datei nutzen, um einen Trojaner damit zu verbergen

Eben nicht. Es besteht ein fundamentaler Unterschied zwischen dem Ausnutzen eines Fehlers einer Software beim Interpretieren von Daten und per se Dateiformate, die ausführbare Inhalte enthält.

Du scheinst darüber nur etwas irritiert zu sein, weil es sozusagen "Binder" gibt, die versprechen jede Datei mit einer ausführbaren Datei (exe) binden zu können.

Was macht der also am Ende daraus? Er macht aus der jpg eine leicht veränderte exe, eben nur mit dem Bild als Ressource.

Funktionieren tut die "gebindete" Datei allerdings nur mit der Dateiendung exe.
Wenn man es "jpg" nennt und versucht zu starten, dann meldet das Bildanzeigeprogramm, dass es das Bild nicht öffnen kann, weil das Programm versucht Code als Bild zu interpretieren. Mehr passiert nicht.

Beispielsweise Bitmaps. Wie willst du Schadcode in Bitmaps einbetten?
Ein Programm, welches eine Bitmap einliest, interpretiert alles als Pixeldaten, als Farbattribute.

Wie gesagt: Es gibt nur bestimmte einzelne Fälle, bei denen in der Vergangenheit FEHLER in Bildanzeigeprogrammen waren. Man hat das Bild so "gemalt" und manipuliert, dass das Programm beim Anzeigen über die falsch formatierten Daten stolpert und ohne es zu wollen, den Schadcode darin ausführt und dann abstürzt.

Das geht aber eben nicht einfach so. Die Fehler wurden behoben und nicht jedes Programm hatte den Fehler überhaupt.

Das übertragen von einer Webseite ist etwas sehr viel komplizierteres, es stimmt, dass das von einem Webserver nicht bewerkstelligt werden kann, aber es gibt Anwendungen die man auf dem Server laufen lassen kann und die das möglich machen.

Es gibt sogenannte Java-Applets, die das möglich machen.
Bei denen kommt aber ein fettes Fenster mit einer Warnung beim User, welches sagt, dass das Ausführen unsicher ist und man es erst bestätigen muss...
Niemals einfach solche Dinge bestätigen. Auch wenn das Spiel noch so "nett" aussieht, was einem da versprochen wird.

Ein Prog mit Registry Key, welches sich selbst in den Autostart Kopiert, zu schreiben, ist nicht schwer, das habe selbst ich schon geschafft.

Was denn nun? Registry-Startup oder Autostart-Ordner im Startmenü?
Sind zwei verschiedene Dinge. Ich denke mal du hast einfach irgendeinen Code-Snippet aus dem Internet kopiert. Toll gemacht.

Er Installiert sich nach dem Entpacken des Archivs

Ich kenne kein Archiv-Programm, welches den Inhalt nach dem Entpacken automatisch ausführt...

Ich glaube es kann nicht schlecht sein, andere, die sich nicht so gut auskennen wie du auf evtl. Risiken aufmerksam zu machen, auch wen diese vielleicht ( Webanwendungen ) erst in Zukunft zum Problem werden könnten.

Ich habe echt keine Ahnung, was du nun genau mit diesem Beitrag wolltest. Du fängst an über DoS Angriffe auf Webserver zu reden und am Ende sprichst du von Trojanern auf User-Rechnern.