FHNW_Infsec_Gwerder_MSP
Infsec FHNW Gwerder
Infsec FHNW Gwerder
Kartei Details
| Karten | 95 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 05.07.2021 / 29.12.2021 |
| Weblink |
https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20210705_fhnwinfsecgwerdermsp/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Erklären Sie eine XML External Entity Attacke
Ein Attribut (z.B. eine Request-ID) wird als External Entity signalisiert und der Server inkludiert dann beim parsing ein File auf seinem System als ID und sendet dieses zurück.
Wie kann sich Malware vor dem Antivirus-Programm verstecken?
Encoder und Laufzeitpacker
Eine einfache Umgehung der Entdeckung. Auf der Disk liegt das Schad-Programm nicht in der aus- führbaren Form vor, was Malware-Scanner dazu nötigt eine dekomprimierung oder Dekodierung vorzunehmen.Polymorphie
Die Malware verwendet Verschlüsselungsalgorithmen um ihre Signatur permanent anzupassen und damit der Erkennung von signaturbasierter Malware-Scanner zu entgehen.Stealth-Technologien
Stealth-Technologien werden vor allem auf lokalen Systemen verwendet. Hier werden Zugriffe auf das Speichersystem so geändert, dass beim Lesen eines infizierten Files nur die nicht-infizierte Version zurückgegeben wird, wenn die Malware aktiv ist. Damit wird verunmöglicht, dass ein fi- lebasierter Malware-Scanner allfällig versuchte Files detektieren kann.Payload download
Es wird ein möglichst harmloser Downloader auf dem System abgelegt. Alle übrigen Teile werden aus dem Netz geladen. Ein filebasierter Scanner wird deshalb nie direkt Malware-Programme auf dem Massen-Speichersystem des Rechners finden.
Was sind Backdors?
Backdoors sind üblicherweise Programme, die es erlauben normale Sicherheitssperren ohne der üblichen Prüfung der Rechte zu umgehen.
was ist ein Rootkit?
Ein Rootkit erlaut es normale Benutzerrechte hochzustufen. Die Unterscheidung zwischen Backdoor und Rootkit ist schwer. Typischerweise sind Backdoors gezielt programmierte Funktionen, während Rootkits sich Fehler in der Programmimplementation zunutze machen.
Detektionstypen
Signatur-Basiert
Diese Detektion versucht mittels möglichst kurzer Signaturen (z.B. Regular Expression) eine be- kannte Malware zu identifizieren.Verhaltensbasiert
Bei der verhaltens-basierten Detektion wird auffälliges Verhalten (z.B. Das Herstellen einer Ver- bindung ins Internet oder bestimmte Arten von Schreibzugriffen auf den Massenspeicher) als Er- kennungsmerkmal für möglicher Malware verwendet.Statistikbasiert
Bei dieser Detektions-Art werden statistische Häufungen von Prozessen und Files erfasst und ana- lysiert. Dieses Feature wird häuffig auch als “Cloud-Feature” verkauft.
Intrusion Detection System (IDS)
Ein Intrusion Detection System (IDS) ist ein System, das der Erkennung von Angriffen auf ein Computersystem oder Computernetz dient. Richtig eingesetzt, ergänzen sich eine Firewall und ein IDS und erhöhen so die Sicherheit von Netzwerken.
Intrusion-Prevention-System (IPS)
Intrusion Prevention ist eine vorbeugende Maßnahme in Bezug auf die Netzwerksicherheit. Man verwendet es, um potenzielle Bedrohungen zu identifizieren und schnell darauf reagieren zu können.
Watchdogs
oft bei der HW überwachung
Hardening
• Patchen mit speziellen, sicherheitsfördernden Technologien (z.B. bei Linux SELinux oder PaX). • Einführen von Passwortrichtlinien oder spezieller Authentisierung.
• Deaktivieren und entfernen nicht benötigter Programme, Benutzer und Services.
• Einschränken der lokalen Benutzer-Rechte.
• Das Verwenden einer lokalen Firewall.
Watchdogtypen (Time-Out, Window, Smart)
Time-Out-Watchdog
Der Watchdog meldet sich bei der zu überwachenden Applikation und diese muss innerhalb einer bestimmten Zeit eine Antwort liefern. Bleibt die Meldung aus ergreift der Watchdog die definierten Korrekturmassnahmen.Window-Watchdog
Die zu überwachenden Applikation führt einen Selbsttest aus und meldet sich falls erfolgreich beim Watchdog (periodisch). Bleibt eine Meldung innerhalb eines definierten Zeitfensters aus ergreift der Watchdog die definierten Korrekturmassnahmen.Smart-Watchdog
Der Watchdog führt einen definierten End-to-end-Test bei der Applikation aus. Schlägt er fehl, ergreift der Watchdog die definierten Korrekturmassnahmen.
Angriff von Server auf Server typischer als auf Clients, wieso?
Client hat keine öffentliche IP
A Billion laughter
mittels eines parsers, den inhalt eines rams explodieren lassen
quin-zip-file
arbeitet über rekursion (entpackt sich selber)
zip-bombe
zip file mit extrem hoher kompressionsrate --> greifft disc-space an
reflector atacke
ei einer Reflektor-Attacke sendet ein Angreifer Daten an einen oder mehrere Empfänger und diese wiederum generieren Verkehr, der an das anzugreifende Ziel gesendet wird.
Reflektorattacken haben zwei Eigenschaften:
1. Sie verbergen den wahren Täter.
2. Sie erhöhen die Bandbreite der Attacke.
Ein typischer Vertreter ist beispielsweise die Smurf-Attacke. Be dieser Attacke wird ein Ping-Paket mit einer gefälschten Absender-Adresse an eine Broadcast-Adresse eines Netzwerkes gesendet. Schlecht Kon- figurierte Clients geben darauf Antwort indem sie ein Paket an den vermeintlichen Absender (das Ziel der Attacke) senden.
