Dieter Kochheim, <strong>Cybercrime</strong> - 40 -A.3 4. AngriffsmethodenA.3 4.1 BootvorgangDer Start eines PCs ist ein meist vollständig automatisierterVorgang 184 , der von Malware dazu genutztwerden kann, dass ihre Komponenten, die imSystem nach der Infektion schlummern, tatsächlichauch installiert und aktiviert werden.Die älteste Methode ist die, dass Datenträger verseuchtwerden, um beim Start des Systems dieMalware zu installieren 185 . Hierzu kann jeder Datenträgermissbraucht werden, ob Festplatte, Diskette,CD-ROM oder USB-Stick, wenn es gelingt,die Malware in den Bootsektor 186 des Datenträgerszu schreiben, der immer zuerst ausgeführt wird.Die hier platzierte Malware muss nur ein einzigesKommando enthalten, das die an anderer Stellegespeicherten oder aus dem Netz abgefordertenProgrammteile lädt.Auf den Bootsektor greifen das BIOS 187 , das dieHardware betriebsbereit macht, und das Betriebssystem188 zu, das die Arbeitsumgebung für dieProgramme herstellt. Das BIOS enthält in einemSpeicherchip "fest verdrahtete" Bestandteile, dieals solche nicht manipuliert werden können. Danebenverfügt es jedoch auch über programmierbareTeile, die missbraucht und mit Malware überschriebenwerden können. Das heißt, dass die Malwareauch das BIOS infizieren kann, was von modernenSystemen weitgehend unterbunden wird (aberprinzipiell nicht ausgeschlossen ist).Überwachungs-Hardware, die nicht nur Datenströmekopiert (Keylogger 189 ), muss vom BIOS aktiviertwerden. Dazu bedarf es entweder einer spezifischenAnmeldung dieses Geräts oder die Nutzungeiner Sowieso-Schnittstelle. Dafür bietet sichganz besonders die USB-Schnittstelle 190 an, dieinzwischen durchgängig von allen Peripheriegerätenund Spielereien genutzt wird. Der USB liefert184WP, Booten185WP, Bootvirus186WP, Master Boot Record187WP, Basic Input Output System - BIOS188WP, Betriebssystem (Operation System - OS)189WP, Keylogger190WP, Universal Serial Bus - USBBetriebsstrom und transportiert Daten in beideRichtungen. Über ihn lassen sich die PCs auchsteuern und booten. Er ist die optimale Schnittstellefür Missbräuche und lässt sich auch nichtabschalten, weil er für andere nützliche Anwendungengebraucht wird (Tastatur, Maus, Drucker,Scanner, externe Festplatte, Speicherstick, digitaleKamera ...).A.3 4.2 BetriebssystemNachdem das BIOS die physikalische Umgebungdes PCs aktiviert hat, gestaltet das Betriebssystemdie Umgebung für die Programme, die zumEinsatz kommen sollen.Um die Besonderheiten jedes einzelnen Systemsberücksichtigen zu können, greift das Betriebssystemdabei auf Systemtabellen und ausführbareSkripte zurück, die ebenfalls infiltriert sein können.Wie gesagt: Ein einziges böswilliges Kommandoreicht!Klassisch für DOS (Microsoft) 191 sind das die Dateienconfig.sys 192 und autoexec.bat 193 . UnterUNIX 194 übernimmt diese Aufgaben u.a. dieCrontab 195 . Seit der Einführung von Windows 98werden die Konfigurationsdaten in eine dafür vorgeseheneDatenbank geschrieben, die Registry196. Alle Manipulationen an diesen Konfigurationsdateienführen dazu, dass während des Startsdes Betriebssystems Malware installiert werdenkann.Mit dem Betriebssystem werden auch andereProgramme auf Vorrat geladen. Das verzögertzwar den Systemstart, beschleunigt jedoch dielaufende Arbeit am PC.Zu diesen Programmen gehören vor Allem die Firewallund der Virenscanner, das können aberauch Büroanwendungen und E-Mail-Browser sein(Outlook 197 wird häufig beim Startvorgang aufge-191WP, Microsoft Disk Operating System192WP, Config.sys193WP, Autoexec.bat194WP, Unix195WP, Cron196WP, Windows-Registrierungsdatenbank197WP, Outlook
Dieter Kochheim, <strong>Cybercrime</strong> - 41 -rufen). Verantwortlich dafür sind in erster Linie diePfadeintragungen in der Registry, die für Autostart-Programme vorgesehen sind, oder die Programme,die sich in dem Autostart-Verzeichnis befinden.Beide werden von modernen Betriebssystemen imVerein mit Firewalls und Virenscannern argwöhnischüberwacht. Das bedeutet aber nicht, dass dieInfektion dadurch ausgeschlossen ist. Gut getarnteMalware setzt auf andere, als gutwillig eingestufteProgramme auf und schleicht sich damit ein. Dazueignen sich besonders auch die "gutwilligen" Programmbibliotheken(DLL-Injection 198 ), die die Objekteund andere Umgebungsvariablen verwalten,auf die die Anwenderprogramme dann zurück greifen.Beim Systemstart wird meistens auch die Netzverbindunggeprüft, indem der PC mit dem nächstenNetzknoten 199 Kontakt aufnimmt (Router 200 , Switch201, Wireless LAN 202 ). Dadurch wird das Systemnach außen geöffnet. Bei den genannten Gerätenhandelt es sich selber um "intelligente" informationsverarbeitendeSysteme 203 , die ihrerseits infiziertsein und den Startvorgang zur Infiltration nutzenkönnen 204 .Der Zugriff auf das Internet erfolgt nicht nur dadurch,dass der Anwender seine E-Mails oder imBrowser Webseiten aufruft. Viele Programme machendas auch selbsttätig, um nach neuen Meldungen,Virensignaturen oder Programmversionennachzufragen. Solche vom PC zugelassenen Netzkontaktelassen sich prinzipiell auch von der Malwaremissbrauchen.Eine Variante davon ist das DNS-Poisoning 205 , beidem die lokale Hostdatei manipuliert wird, um unbemerktauf präparierte Internetseiten umzuleiten.Diese Methode ist besonders im Zusammenhang198WP, DLL-Injection199CF, Angriffe aus dem Netz, 2007200WP, Router201WP, Switch (Computertechnik)202WP, Wireless Local Area Network - WLAN203CF, Telefonanlage, Server, 2007204Trojaner konfiguriert Router um, Heise online13.06.2008205CF, Massenhacks von Webseiten werden zur Plage,14.03.2008mit dem Phishing und der Infiltration mit Botsoftwarebekannt geworden.A.3 4.3 SystemstartDie zentralen technischen Komponenten des PCssind der Prozessor 206 , der eigentliche "Rechner",der Arbeitsspeicher 207 (auch Hauptspeicher)und der Massenspeicher 208 (Festplatte).Der Prozessor wird für die datentechnischen Verarbeitungsvorgängebenötigt. Er führt den Programmcodeaus, liest Daten, verarbeitet sie, leitetsie zu anderen Schnittstellen, z.B. zum Bildschirm,und speichert Dateien ab. Zur Beschleunigungseiner Arbeitsoperationen verfügt er immerhäufiger über eigenen Cachespeicher (Zwischenspeicher),der sich auch für eine Infiltrationeignet 209 .Anders ist das beim Arbeitsspeicher. Beim Pufferüberlauf210 (buffer overflow) werden gezielt bestimmteSpeicheradressen angesprochen, um derenKapazität zu überlasten. Dabei kommt es zum"Überlauf", indem die angelieferten Daten zu anderenAdressbereichen verlagert werden. Dasführt meistens zum Systemabsturz, kann aberauch dazu genutzt werden, Malwarecode einzuschleusen.Anspruchsvolle technische Erweiterungen sindhäufig wie ein selbständiger PC im PC konstruiert.Das gilt vor Allem für hochwertige Grafik- undVideokarten, die über eigene Prozessoren und Arbeitsspeicherverfügen und damit das System imÜbrigen entlasten.Je verbreiteter solche Karten sind, desto attraktiverwerden sie für die Malware, um böswilligeVerarbeitungsprozesse, die im Hauptsystem zuauffällig wären, hierhin zu verlagern.Dasselbe Vorgehen ist auch bei vernetzten Syste-206WP, Prozessor (Hardware)207WP, Arbeitsspeicher208WP, Massenspeicher209Hacker finden einen neuen Platz, um rootkits zuverbergen, tecchannel 10.05.2008210WP, Pufferüberlauf
- Seite 2 und 3: Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5: Dieter Kochheim, Cybercrime - 4 -57
- Seite 6: Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10: Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12: Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14: Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39: Dieter Kochheim, Cybercrime - 39 -h
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92:
Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94:
Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96:
Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98:
Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100:
Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102:
Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104:
Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106:
Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108:
Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110:
Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112:
Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114:
Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116:
Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -