HurricanX
09.09.2004, 16:53
Thema: Geschützte PC Systeme
Autor: GroundZero
Datum: 19.06.2003
Wichtiger Hinweis:
Dieses Dokument beschreibt einige grundlegende Techniken und Theorien über das Überwinden von Sicherheitsprogrammen wie AV/AT Programmen und Desktop-Firewalls. Dieses Dokument wird NICHT in Details genau die jeweiligen Techniken erklären oder Source codes zu diesem Thema erklären.
Heutzutage sind recht viele PC Systeme die Zugang zum Internet haben unterschiedlich gegenüber Angriffen von Hackern oder anderen Attacken aus dem Netz geschützt. Dieses Dokument beschreibt zunächst die vier meist genutzten Lösungen zum Schutze eines PC Systems. Danach werden die Grundlagen und Theorien einiger Techniken erklärt die zur Zeit von Trojanern verwendet werden.
Inhalt:
Seite 1: Grundlagen der unterschiedlich geschützten PC Systeme
Seite 2: Techniken und Theorien zum Umgehen von Sicherheitseinrichtungen
Grundlagen der unterschiedlich geschützten PC Systeme
Internet --> PC
Fall 1:
Recht viele PC Systeme sind kaum oder gar nicht in irgendeiner weise vor Angriffen geschützt. Der PC hat in diesem Fall direkten Zugriff auf das Internet. Somit ist dieses PC System ein leichtes Ziel für Hacker, die versuchen sich Zugang zu diesesm System zu verschaffen, denn keine Sicherheitssoftware, wie Desktop-Firewalls oder Anti-Virus Programme können den Benutzer des PC Systems vor Angriffen vom Netz aus nicht schützen.
Internet --> Router --> PC
Fall 2:
Einige PC Systeme haben keinen direkten Zugriff auf das Internet. Sie sind meist ein Teil eines Lokalen Netzwerkes (kurz: LAN = Local Area Network). Diese PC Systeme befinden sich hinter diversen Netzwerkelementen wie Router oder Switches. Ein Router schützt gut gegen unerwartete und unerwünschten Traffic (Verkehr) zu diesen PC Systemen die hinter diesem Router angeschlossen sind. In der Vergangenheit war es nahezu unmöglich zu einen PC zu verbinden der sich hinter einen Router befand, aber seit einigen Monaten verwenden einige Trojaner eine Technologie die es ermöglicht dennoch eine Verbindung aufzubauen trotz zwischengeschaltetem Router. Diese Technologie wird als LAN/Router Bypass bezeichnet.
Internet --> Router --> Firewall --> PC
Fall 3:
Zeit einger Zeit verwendet man auch Firewalls um PC Systeme zu schützen. Es gibt zwei Arten von Firewalls: Hardware-Firewalls und Software-Firewalls. Die Hardware-Firewalls sind meist externe LAN Geräte. Dieses Dokument beschränkt sich jedoch nur auf die Software-Firewalls, insbesondere der Desktop-Firewalls für Betriebsysteme der Windows Serie. Diese Desktop-Firewalls kontrollieren den gesammten Verkehr der vom PC System selber ausgeht un auch zum System geht. Hierzu verwendet die Firewall ein Regelwerk (Ruleset) um nachzuschauen ob ein laufendes Programm die Rechte hat ungehindert ins Netz zu senden bzw. aus dem Netz Daten zu empfangen. Desweiteren schützt diese FIrewall auch vor böswilligen Datensendungen wie zum Beispiel pings-of-death und anderen Angriffen aus dem Netz. In der Vergangenheit waren solche Desktop-Firewalls ein sehr guter Schutz, jedoch seit es eine neue Technik gibt die nun von immer mehr Trojanern verwendet wird, die es ermöglicht ungehindert an einer Firewall vorbei bzw. durchzuschlüpfen, werden solche Firewalls sehr schnell nutzlos.
Internet --> Router --> Firewall --> AV/AT program --> PC
Fall 4:
Recht viele PC Systeme werden ebenfalls auch noch durch ein AV bzw. AT-Programm geschützt (AV = Anti-Virus, AT = Anti-Trojaner). Diese AV/AT Programme schützen den PC vor malware (malicious software). Malware ist ein Synonym für Viren, Trojaner, Würmer also alle schädlichen Programme.
Aber auch diese Sicherheitsprogramme können ausgetrickst werden.
Techniken und Theorien zum Umgehen von Sicherheitseinrichtungen
Inhalt:
- Bypass AV/AT programs
- Bypass Desktop-Firewalls
- Bypass LANs/Routers
Bypass AV/AT programs
Server --> AV/AT-programm --> vergleich Datei mit Signatur --> Datei enthält gleiche Teile wie Signatur --> detected
Fall 1:
In diesem Beipiel wird eine Datei von einem AV/AT Programm gescannt. Das AV/AT Programm vergleicht die Datei mit Virensginaturen aus der Signaturdatenbank des AV/AT Programms. Das AV/AT Programm schaut in diese Datei und sucht nach Teilen die womöglich Ähnlichkeit mit der Signatur haben. Findet das Programm eine Stelle die womöglich identisch mit der Signatur ist, so erkennt das AV/AT Programm diese Datei als malware und gibt dies dementsprechend auch aus.
Server verändern --> AV/AT-programm --> vergleich Datei mit Signatur --> Datei enthält keine Teile die gleich mit der Signatur sind --> file ok
Fall 2:
Um diese Erkennung durch einen AV/AT Scanner zu verhindern, behlfen sich Benutzer solcher malware unterschiedliche Tricks, wie zum Beispiel das Verwenden von PE Packern, PE Crypter, editieren per HEx-Editor usw. In diesem Dokument verwende ich für PE Packer, PE Crypter usw. den Oberbegriff 'PE tools' (tool = Werkzeug, PE = Protable Executable = ausführbare Datei). Nun zurück zum Zweiten Fall: Diese PE tools verändern spezielle Teile einer Datei. Die größe und die Lage dieser Stellen in so einer Datei, die verändert werden, hängen von den PE tools, die verwendet werden, ab. In diesem Beispiel hat die Datei diesen Teil: 01100101. Nach dem Verändern durch solcher PE tools wurde dieser Teil geändert. Der Teil sieht nun wie folgt aus: 1100111. Das AV/AT Programm überprüft erneut diese Datei und sucht wieder nach Teilen die mit der Signatur übereinstimmen können. Der zuvor gefundene Teil der in diese Datei, der sie zuvor als malware kennzeichnete, wurde mit Hilfe dieser PE tools so verändert, dass das AV/AT Programm keine Stelle in der Datei finden kann, die zur Signaur passt. Somit schlüpft diese malware unerkannt an dem Sicherheitsscanner vorbei.
Bypass Desktop-Firewalls
MSIE --> Firewall --> vergleiche mit Ruleset --> MSIE = trusted prog. --> permit (zulassen)
Fall 1:
Die Anwendung MSIE (Microsoft Internet Explorer) versucht eine Verbindung zu dem Internet aufzubauen. Die Desktop-Firewall benutzt das Regelwerk welches die Informationen beinhaltet, welche Anwenungen vertrauenswürdig sind und somit uneingeschränkt ohne Benachrichtigung über aufkommenden Datenverkehr Daten senden und empfangen können. Die Firewall überprüft nun mit Hilfe dieses Regelwerks ob die laufende Anwendung die gleiche ist die in diesem Regelwerk eingetragen ist und somit als vertrauenswürdige Anwendung gekennzweichnet wird. Sollte die laufende Anwendung wirklich identisch mit der Anwendung sein, die in dem Regelwerk für vertrauenswürdige Programme steht, so erlaubt die Firewall den Datenverkehr dieser laufenden Anwendung.
Server --> Firewall --> vergleiche mit Ruleset --> Server != trusted prog. --> blockieren
Fall 2:
Nun im zweiten Fall versucht diesmal ein Trojaner (hier als Server gekennzeichnet) Daten zum Internet zu senden. Auch hier überprüft die Firewall ob diese Anwendung die Berechtigung hat Daten ins Internet zu senden bzw. zu empfangen. Die Firewall findet die laufende Anwedung des Trojaners nicht im Regelwerk und blockiert daher den ausgehenden Datenverkehr des Trojaners.
Server --> infect in MSIE process --> Firewall --> vergleiche mit Ruleset --> Server = trusted IE --> permit
Fall 3:
In Fall 2 konnte der Server keine Verbindung zum Internet aufbauen, da die Firewall den Datenverkehr blockiert hatte. Jedoch gibt es seit kurzem eine Methode um ungestört durch diese Firewall durchzuschlüpfen. Dies wird folgendermaßen realisiert: Der Trojaner iniziert einen Teil von sich in den Speicherbereich einer Anwendung die höchstwahrscheinlich eine vertrauenswürdige Anwendung ist, zum Beispiel der MSIE. Der Trojaner läuft nun im Speicherbereich der MSIE Anwendung. Die Firewall überprüft erneut diese Anwendung ob sie die erfordlichen Berechtigungen hat. Obwohl der Trojaner eine fremde Anwendung ist, jedoch im Speicherbereich einer vertrauenswürdigen Anwendung läuft, erkennt die Firewall nichts außergewöhnliches und läßt den den Datenverkehr des Trojaners zu.
Server --> kill firewall --> outgoing connections without blocking
Fall 4:
Um eine Blockierung durch eine Firewall zu verhindern beenden Trojaner einfach die Firewallanwenungen im Speicher. Die Firewall kann somit nicht mehr den laufenden Datenverkehr zuüberwachen. Recht viele Trojaner verwenden diese Methode, welche aber recht destructiv ist und leicht vom PC Benutzer gesehen werden kann.
Bypass LANs/Routers
Fall 1:
Sollte ein Server auf einem PC SYstem laufen, welches wiederrum ein Teil eines Netzwerke, schickt dieser Server durch ein LAN Gerät, hier ein Router, die aufgenommene IP des PC Systems zu dem RAT Admin. Jedoch ist die aufgenomme und vom Server gesendete IP eine statische Netzwerk IP und ermöglicht den RAT Admin nicht den Zugriff auf dieses PC System. Desweiteren blockiert der Router alle Verbindungsanfragen aus dem Netz.
Fall 2:
Um die Blockierung des Datenverkehrs durch einen Router zu verhindern agiert der Server nun als Clientanwendung und fragt durch den Router nach Daten und verbindet sich direkt zu dem Client des RAT Admins. Aufgrund der Anfrage innerhalb des Netzwerkes nach Außen zu kommunizieren, blockt der Router auch keine Verbindung zu dem Server auf dem PC System, welches sich hinter dem Router befindet.
Autor: GroundZero
Datum: 19.06.2003
Wichtiger Hinweis:
Dieses Dokument beschreibt einige grundlegende Techniken und Theorien über das Überwinden von Sicherheitsprogrammen wie AV/AT Programmen und Desktop-Firewalls. Dieses Dokument wird NICHT in Details genau die jeweiligen Techniken erklären oder Source codes zu diesem Thema erklären.
Heutzutage sind recht viele PC Systeme die Zugang zum Internet haben unterschiedlich gegenüber Angriffen von Hackern oder anderen Attacken aus dem Netz geschützt. Dieses Dokument beschreibt zunächst die vier meist genutzten Lösungen zum Schutze eines PC Systems. Danach werden die Grundlagen und Theorien einiger Techniken erklärt die zur Zeit von Trojanern verwendet werden.
Inhalt:
Seite 1: Grundlagen der unterschiedlich geschützten PC Systeme
Seite 2: Techniken und Theorien zum Umgehen von Sicherheitseinrichtungen
Grundlagen der unterschiedlich geschützten PC Systeme
Internet --> PC
Fall 1:
Recht viele PC Systeme sind kaum oder gar nicht in irgendeiner weise vor Angriffen geschützt. Der PC hat in diesem Fall direkten Zugriff auf das Internet. Somit ist dieses PC System ein leichtes Ziel für Hacker, die versuchen sich Zugang zu diesesm System zu verschaffen, denn keine Sicherheitssoftware, wie Desktop-Firewalls oder Anti-Virus Programme können den Benutzer des PC Systems vor Angriffen vom Netz aus nicht schützen.
Internet --> Router --> PC
Fall 2:
Einige PC Systeme haben keinen direkten Zugriff auf das Internet. Sie sind meist ein Teil eines Lokalen Netzwerkes (kurz: LAN = Local Area Network). Diese PC Systeme befinden sich hinter diversen Netzwerkelementen wie Router oder Switches. Ein Router schützt gut gegen unerwartete und unerwünschten Traffic (Verkehr) zu diesen PC Systemen die hinter diesem Router angeschlossen sind. In der Vergangenheit war es nahezu unmöglich zu einen PC zu verbinden der sich hinter einen Router befand, aber seit einigen Monaten verwenden einige Trojaner eine Technologie die es ermöglicht dennoch eine Verbindung aufzubauen trotz zwischengeschaltetem Router. Diese Technologie wird als LAN/Router Bypass bezeichnet.
Internet --> Router --> Firewall --> PC
Fall 3:
Zeit einger Zeit verwendet man auch Firewalls um PC Systeme zu schützen. Es gibt zwei Arten von Firewalls: Hardware-Firewalls und Software-Firewalls. Die Hardware-Firewalls sind meist externe LAN Geräte. Dieses Dokument beschränkt sich jedoch nur auf die Software-Firewalls, insbesondere der Desktop-Firewalls für Betriebsysteme der Windows Serie. Diese Desktop-Firewalls kontrollieren den gesammten Verkehr der vom PC System selber ausgeht un auch zum System geht. Hierzu verwendet die Firewall ein Regelwerk (Ruleset) um nachzuschauen ob ein laufendes Programm die Rechte hat ungehindert ins Netz zu senden bzw. aus dem Netz Daten zu empfangen. Desweiteren schützt diese FIrewall auch vor böswilligen Datensendungen wie zum Beispiel pings-of-death und anderen Angriffen aus dem Netz. In der Vergangenheit waren solche Desktop-Firewalls ein sehr guter Schutz, jedoch seit es eine neue Technik gibt die nun von immer mehr Trojanern verwendet wird, die es ermöglicht ungehindert an einer Firewall vorbei bzw. durchzuschlüpfen, werden solche Firewalls sehr schnell nutzlos.
Internet --> Router --> Firewall --> AV/AT program --> PC
Fall 4:
Recht viele PC Systeme werden ebenfalls auch noch durch ein AV bzw. AT-Programm geschützt (AV = Anti-Virus, AT = Anti-Trojaner). Diese AV/AT Programme schützen den PC vor malware (malicious software). Malware ist ein Synonym für Viren, Trojaner, Würmer also alle schädlichen Programme.
Aber auch diese Sicherheitsprogramme können ausgetrickst werden.
Techniken und Theorien zum Umgehen von Sicherheitseinrichtungen
Inhalt:
- Bypass AV/AT programs
- Bypass Desktop-Firewalls
- Bypass LANs/Routers
Bypass AV/AT programs
Server --> AV/AT-programm --> vergleich Datei mit Signatur --> Datei enthält gleiche Teile wie Signatur --> detected
Fall 1:
In diesem Beipiel wird eine Datei von einem AV/AT Programm gescannt. Das AV/AT Programm vergleicht die Datei mit Virensginaturen aus der Signaturdatenbank des AV/AT Programms. Das AV/AT Programm schaut in diese Datei und sucht nach Teilen die womöglich Ähnlichkeit mit der Signatur haben. Findet das Programm eine Stelle die womöglich identisch mit der Signatur ist, so erkennt das AV/AT Programm diese Datei als malware und gibt dies dementsprechend auch aus.
Server verändern --> AV/AT-programm --> vergleich Datei mit Signatur --> Datei enthält keine Teile die gleich mit der Signatur sind --> file ok
Fall 2:
Um diese Erkennung durch einen AV/AT Scanner zu verhindern, behlfen sich Benutzer solcher malware unterschiedliche Tricks, wie zum Beispiel das Verwenden von PE Packern, PE Crypter, editieren per HEx-Editor usw. In diesem Dokument verwende ich für PE Packer, PE Crypter usw. den Oberbegriff 'PE tools' (tool = Werkzeug, PE = Protable Executable = ausführbare Datei). Nun zurück zum Zweiten Fall: Diese PE tools verändern spezielle Teile einer Datei. Die größe und die Lage dieser Stellen in so einer Datei, die verändert werden, hängen von den PE tools, die verwendet werden, ab. In diesem Beispiel hat die Datei diesen Teil: 01100101. Nach dem Verändern durch solcher PE tools wurde dieser Teil geändert. Der Teil sieht nun wie folgt aus: 1100111. Das AV/AT Programm überprüft erneut diese Datei und sucht wieder nach Teilen die mit der Signatur übereinstimmen können. Der zuvor gefundene Teil der in diese Datei, der sie zuvor als malware kennzeichnete, wurde mit Hilfe dieser PE tools so verändert, dass das AV/AT Programm keine Stelle in der Datei finden kann, die zur Signaur passt. Somit schlüpft diese malware unerkannt an dem Sicherheitsscanner vorbei.
Bypass Desktop-Firewalls
MSIE --> Firewall --> vergleiche mit Ruleset --> MSIE = trusted prog. --> permit (zulassen)
Fall 1:
Die Anwendung MSIE (Microsoft Internet Explorer) versucht eine Verbindung zu dem Internet aufzubauen. Die Desktop-Firewall benutzt das Regelwerk welches die Informationen beinhaltet, welche Anwenungen vertrauenswürdig sind und somit uneingeschränkt ohne Benachrichtigung über aufkommenden Datenverkehr Daten senden und empfangen können. Die Firewall überprüft nun mit Hilfe dieses Regelwerks ob die laufende Anwendung die gleiche ist die in diesem Regelwerk eingetragen ist und somit als vertrauenswürdige Anwendung gekennzweichnet wird. Sollte die laufende Anwendung wirklich identisch mit der Anwendung sein, die in dem Regelwerk für vertrauenswürdige Programme steht, so erlaubt die Firewall den Datenverkehr dieser laufenden Anwendung.
Server --> Firewall --> vergleiche mit Ruleset --> Server != trusted prog. --> blockieren
Fall 2:
Nun im zweiten Fall versucht diesmal ein Trojaner (hier als Server gekennzeichnet) Daten zum Internet zu senden. Auch hier überprüft die Firewall ob diese Anwendung die Berechtigung hat Daten ins Internet zu senden bzw. zu empfangen. Die Firewall findet die laufende Anwedung des Trojaners nicht im Regelwerk und blockiert daher den ausgehenden Datenverkehr des Trojaners.
Server --> infect in MSIE process --> Firewall --> vergleiche mit Ruleset --> Server = trusted IE --> permit
Fall 3:
In Fall 2 konnte der Server keine Verbindung zum Internet aufbauen, da die Firewall den Datenverkehr blockiert hatte. Jedoch gibt es seit kurzem eine Methode um ungestört durch diese Firewall durchzuschlüpfen. Dies wird folgendermaßen realisiert: Der Trojaner iniziert einen Teil von sich in den Speicherbereich einer Anwendung die höchstwahrscheinlich eine vertrauenswürdige Anwendung ist, zum Beispiel der MSIE. Der Trojaner läuft nun im Speicherbereich der MSIE Anwendung. Die Firewall überprüft erneut diese Anwendung ob sie die erfordlichen Berechtigungen hat. Obwohl der Trojaner eine fremde Anwendung ist, jedoch im Speicherbereich einer vertrauenswürdigen Anwendung läuft, erkennt die Firewall nichts außergewöhnliches und läßt den den Datenverkehr des Trojaners zu.
Server --> kill firewall --> outgoing connections without blocking
Fall 4:
Um eine Blockierung durch eine Firewall zu verhindern beenden Trojaner einfach die Firewallanwenungen im Speicher. Die Firewall kann somit nicht mehr den laufenden Datenverkehr zuüberwachen. Recht viele Trojaner verwenden diese Methode, welche aber recht destructiv ist und leicht vom PC Benutzer gesehen werden kann.
Bypass LANs/Routers
Fall 1:
Sollte ein Server auf einem PC SYstem laufen, welches wiederrum ein Teil eines Netzwerke, schickt dieser Server durch ein LAN Gerät, hier ein Router, die aufgenommene IP des PC Systems zu dem RAT Admin. Jedoch ist die aufgenomme und vom Server gesendete IP eine statische Netzwerk IP und ermöglicht den RAT Admin nicht den Zugriff auf dieses PC System. Desweiteren blockiert der Router alle Verbindungsanfragen aus dem Netz.
Fall 2:
Um die Blockierung des Datenverkehrs durch einen Router zu verhindern agiert der Server nun als Clientanwendung und fragt durch den Router nach Daten und verbindet sich direkt zu dem Client des RAT Admins. Aufgrund der Anfrage innerhalb des Netzwerkes nach Außen zu kommunizieren, blockt der Router auch keine Verbindung zu dem Server auf dem PC System, welches sich hinter dem Router befindet.