Kleines 1×1 der Abuse Fachbegriffe – Teil I

Apr 03 2011 Published by under Facts, Security

Botnetz? Trojaner? Virus? Malware? Viele verstehen hier nur „Bahnhof“. Hauptsache der Rechner ist sauber und die Daten sind sicher. Für alle die sich dennoch ein wenig für die Materie interessieren ist das alles ein Dschungel aus Fachbegriffen, die sich auch noch in vielen Bereichen überschneiden und oft fast das gleiche bedeuten. Um ein wenig Licht ins Dunkle zu bringen, liste ich hier die häufigsten Fachbegriffe auf und gebe dazu eine kurze Erklärung. Wie Sie vielleicht bereits bemerkt haben, versuche ich in meinen Artikeln so gut es geht -rein aus technischer Sicht- immer nur bis zu einer gewissen Grenze zu gehen. Das ist nicht leicht, denn manchmal muss ich diese Grenze leicht überschreiten oder hart anschneiden um einen Begriff dennoch vollständig zu erklären. Ich gebe mir allerdings Mühe, alle meine Artikel in einem Rahmen zu halten, sodass auch Laien sie verstehen können. Gerne können Sie mich via Kommentar oder über das Kontaktformular auf den ein oder anderen Fauxpas hinweisen 🙂 Virus / Viren
Der Begriff „Virus“ steht für schädliche Programme die Datenträger und Systeme infizieren. Der Anwender selbst verbreitet wiederum ungewollt den Virus auf andere Systeme. Im Gegensatz zum Wurm muss der Virus bereits vorhandene Dateien infizieren. Klassische Viren gibt es heutzutage fast keine mehr. Würmer haben Viren quasi vom Markt verdrängt.

Trojaner / Trojanisches Pferd
Ein Trojaner gibt dem Benutzer vor, er sei etwas völlig harmloses. Zum Beispiel erhält man ein angeblich lustiges Bild, ein angebliches Dokument oder eine angebliche Rechnung via E-Mail. Der Trojaner gibt hier vor, er wäre völlig harmlos, er tarnt sich als sog. „trojanisches Pferd“, zeigt einem vielleicht sogar eine Rechnung oder ein Bild an, jedoch führt er im Hintergrund Dinge aus, die dem Nutzer schaden, ihn infizieren und verseuchen. Hier liegt der eigentliche Knackpunkt, ob der Nutzer dies nun mitbekommt oder nicht: der PC wurde mit dem Trojaner infiziert. Ein Trojaner besteht somit aus zwei Komponenten: Der Hülle (der vermeintlich harmlose Teil) und dem Kern (dem eigentlichen Virus). Wird der Trojaner aktiviert, setzt er den Virus im System ab. Normalerweise (also klassisch betrachtet) verbreitet sich ein Trojaner nicht selbstständig weiter. Ausnahme wäre hier, wenn der Trojaner die zusätzlichen Eigenschaften eines Wurmes besitzt (Siehe Abschnitt „Wurm / Würmer“). Trojaner installieren auf den infizierten Rechner allerlei Komponenten, die es dem Urheber möglich machen den Nutzer auszuspionieren. Keylogger, Backdoor-Funktionalitäten und Sniffer sind nur einige davon.

Backdoor
Backdoors sind Hintertürchen, die es dem Urheber (oder allen anderen) erlauben Sicherheitsvorkehrungen zu übergehen und trotzdem ins System einzudringen. Ein Beispiel wäre ein Universalpasswort vom Hersteller für das System oder eine versteckte Hintertür in einem Betriebssystem o.ä. Der Unterschied zum Trojaner ist hier, dass diese Hintertür nicht durch eine Infektion zu Stande gekommen ist. Allerdings ist zu beachten, dass selbstverständlich auch Trojaner Backdoors benutzen können und diese auf dem System installieren. Sollte Sie das verwirren (mich hat es anfangs sehr verwirrt), so trennen Sie einfach die beiden Begriffe Trojaner und Backdoor als unabhängige Programme von einander ab.

Malware (Malicious Software)
Malware wird als Überbegriff für jegliche schadhafte Software verwendet. Die meiste Verbreitung findet Malware aktuell auf Microsoft Windows Systemen, jedoch sind Smart Phones (iPhones, Androids und Windows Phones) und Apple-Systeme sehr stark im Kommen.
Linux Systemen schenken die CyberCriminals noch sehr wenig bis keine Beachtung.

Wurm / Würmer / Computerwurm
Ein Wurm ist ein schadhaftes Programm, welches sich selbstständig weiterverbreitet. Einmal gestartet, ist kein Zutun des Hervorrufers mehr notwendig. Würmer verbreten sich auf viele Wegen, so zum Beispiel über Netzwerke, Wechseldatenträger (USB-Geräte), via E-Mail, über Webseiten (u.a. soziale Netzwerke wie z.B. Facebook), über P2P-Netzwerke im Speziellen, über IRCs, über Instant-Messenger, Handys (u.a. Smartphones), über WLAN, über Bluteooth und Embedded Systems. Würmer verbreiten sich auf trickreiche Art und Weisen und versuchen den Anwender mit reizvollen Nachrichten und Warnmeldungen zu locken. Würmer können infizierte Systeme z.B.  für DDoS Attacken oder zur Verbreitung von Spam benutzen.

Spyware
Spyware setzt sich auf Computer-Systemen fest und schickt Informationen (Surfverhalten, installierte Software, installierte Hardware etc.) an Dritte weiter. Meist wird Spyware zur Einblendung von Werbung und Pop-Ups in Browsern verwendet. Spyware kann auch Startseiten in Browsern verändern. Generell wird Spyware als „lästig“ empfunden, die meisten Nutzer machen sich aber keine ernsthaften Sorgen darüber. Spyware ist m.E. wie ein Virus zu behandeln und schnellst möglich zu entfernen.

Adware
Ist Software, die beim Ausführen Werbung einblendet. Durch diese Werbung finanziert der Hersteller die kostenlose Installation seines Produktes. Viele Hersteller bieten werbefreie und somit adware-freie Version zum Kauf an. Adware kann schnell zur Spyware und somit zur Malware mutieren. Überträgt Adware Informationen an Dritte, so ist sie als Spyware zu betrachten. Verändert Adware Dateien des Benutzers um ihn gezielt zu manipulieren, so kann man von Malware im Allgemeinen ausgehen.

Scareware
Verbreitet -wie der Name schon sagt- Angst und Schrecken beim Anwender. Sie soll den Anwender dazu verleiten ein Gefühl zu bekommen, schnell handeln zu müssen, schnell eine gewisse Aktion auszuführen, die der Scareware dienlich ist. Bei Scareware (siehe auch „Polizeitrojaner„) wird beim Anwender Angst verursacht. Diese Angst wird dazu genutzt, dass der Anwender Geld bezahlt. Hierzu sind der Phantasie des Programmiers quasi keine Grenzen gesetzt. Die häufigste Verbreitung sind gefälschte Warnmeldungen von Rogue-AVs (= unnütze und gefälschte Anti-Viren Programme, die überhaupt keine Viren finden) oder gefälschte Microsoft Windows Pop-Ups. Der Anwender ist entweder schon mit einem Virus infiziert (er erhält die Warnmeldung direkt auf seinem Desktop) oder infiziert sich, weil er diese in seinem Internetbrowser zu sehen bekommt (u.U. muss er nicht einmal aktiv etwas anklicken, sondern ist durch einen Drive-By-Download sofort infiziert worden). Bei beiden Arten wird dem Anwender weiß gemacht, dass durch eine Bezahlung „alles wieder gut werde“. Die Scareware bleibt jedoch auf dem System, wird den Anweder abermals zur Bezahlung oder zum „Upgrade“ aufforderen und mit großer Wahrscheinlichkeit Komponenten nachladen, die wiederum mehr schädlichen Code enthalten und u.U. parallel noch andere Scareware installiert.

Dialer
Nutzen im Hintergrund kostenpflichtige Rufnummern über VOIP, SMS, MMS oder klassische Telefonie. Im Grunde sind Dialer (=Einwahlprogramme) als Fraud (=Betrug) zu betrachten, sie riefen früher „nur“ 0190er-Nummern an, sind jedoch mittlerweile auch international tätig und richten ernsthaften finanziellen Schaden an.

Drive-By-Download
Hier kann sich der Benutzer alleine schon durch das Betrachten einer Webseite infizieren. Im „Vorbeifahren“, also im „Vorbeisurfen“ auf der Webseite infiziert sich der Benutzer mit Malware. Sicherheitslücken und automatisch ausgeführte Scripte in/durch Browser und Betriebssystem machen dies möglich. Java- und Flash Anwendungen auf Webseiten sind hierfür die Brutstätte. Wer nun denkt, man könne  sich nur auf offensichtlich bösartig oder zweilichtigen Webseiten infizieren, liegt leider völlig falsch. Mittlerweile sind die meisten infizierten Webseiten nach außen hin völlig harmlos wirkende Seiten von normalen Nutzern. Auch große Webseiten bleiben von Drive-by-Downloads nicht verschont.

Rootkit
Ist Malware die sich tief im System einnistet und dessen Anwesendheit und Wirkungen versucht zu verschleiern. Rootkits überwachen meist Handlungen seitens des Nutzers, bieten die Möglichkeiten für Backdoors, Keylogging u.v.m. Legale Softwarehersteller benutzen Rootkits u.a. um die Handlungen der Nutzer zu überwachen und dementsprechend Gegenhandeln zu können. Rootkits bekommt man mit hoher Wahrscheinlichkeit nicht vollständig vom PC entfernt, da sie sich im BIOS festsetzen oder betriebssystemeigene Dateien dahingehend manipulieren, sodass eine Löschung nur schwer oder selten möglich ist.

Dropper
Dropper sind Programme die Viren ablegen (=droppen) und somit trojanische Pferde. Ein Virus selbst benötigt den Dropper als ausführbare Datei um wiederum andere Programme zu infizieren. Logischerweise sind Dropper meist in Dateien aus dem Internet enthalten (Unkontrollierte Softwareseiten, illegale Tauschbörsen etc.)

Injector
Injector sind Dropper die Malware im Speicher des Systems ablegen (Normalerweise nutzt in Dropper enthaltene Malware den direkten Weg über eine Dateiinfizierung).

Honeypot
Ein Honeypot (=Honigtopf) dient entweder zur Ablenkung eines Angreifers oder dazu ihn in eine Falle zu locken. Hierbei gibt es vielerlei Unterscheidungen und Abgrenzungen. Im Allgemeinen sammeln Honeypots Daten von Angriffen und verarbeiten diese weiter. Dem Angreifer wird ein anscheinend unsicheres System vorgegaukelt. Er versucht dieses zu kompromittieren und diese Versuche werden mitgeloggt und ausgewertet (Beispielsweise um eigene, verseuchte Rechner in einem Netz zu identifizieren und die Besitzer zu benachrichtigen). Command and Control Server von Botnetzen (=Server die das Botnetz steuern) können beispielsweise gekapert und auf Honeypots umgeleitet werden.

Tarpits
Englisch für „Teergrube“ sind ähnlich wie Honeypots. Tarpits versuchen jedoch Malware bei Ihrer Verbreitung zu verlangsamen, indem sie sie bewusst durch bestimmte Methoden und Systeme ausbremsen.

SQL Honeypots
Angreifer glauben hier eine sog. SQL-Injection-Attacke auf ein System erfolgreich durchgeführt zu haben. Allerdings hat der Betreiber sein System so konfiguriert, dass der Angreifer auf der Honeypot Datenbank landet. Hier können dann Daten und Verhaltensweisen des Angreifers gesammelt werden.

Honeylinks
Im Quellcode einer Webseite verstecke -für den normalen Nutzer nicht sichtbar und verwendbare- Links, die Angreifer bei einer Quellcodeanalyse der Webseite auslösen / aufrufen.

Botnet
Ein Botnet (Botnetz) ist eine Gruppe von infizierten Rechnern, die von einem oder mehreren sog. Command and Control (C&C) Servern, dem Botnet-Herder kontrolliert werden. Ziel dieser vielen (bis hin zu Millionen) infizierten Rechner (Zombies) ist es, vom C&C für den Spam-/Phishing Versand, für Attacken auf anderen Systeme oder z.B.  als Proxy missbraucht zu werden. Gleichzeitig ergeben sich aus den infizierten Rechner allerlei Daten für den C&C (Passswörter, Kreditkarteninfos etc.). Es ist auch möglich Filesharing über diese infizierten Rechner zu betreiben. Botnetze können über das Internet für geringe Beträge angemietet werden, sie bestehen aus vielen verschiedenen Komponenten und können diese auch aktiv nachladen, sofern der C&C die nötige Anweisung gibt. So besteht Botznetz-Malware nicht nur aus einer einzelnen Komponente, sondern kann vor und nach der Installation „nachgerüstet“ und aktualisiert werden.

Zombie / Zombierechner
Zombies sind überlicherweise PCs / Systeme die willenlos unter der Kontrolle es eines Command and Control Servers stehen und auf dessen Anweisung handeln.

Command and Control Server (C&C)
C&Cs sind Server die Botnetz-Betreibern zur Steuerung und zum Datenempfang von Botnetzen dienen. Die C&Cs können basierend auf IRC, DNS, FTP oder über P2P mit den Zombies kommunizieren.

DoS, DDoS und DRDoS
DoS (Denial of Service) Attacken zielen darauf ab ein Ziel durch eine Datenflut lahm zu legen. Bei der DDoS (Distributed Denial of Service) Attacke hingehen werden viele Rechner gemeinsam für eine Attacke auf ein Ziel genutzt, dies macht es um einiges effektiver als mit einer einzelnen DoS Attacke. DDoS Attacken finden in der heutigen Zeit mit Hilfe von Botnetzen statt. Bei der DRDoS (Distributed Reflected Denial of Service) Attacke geben die Angreifer vor, sie wären das Opfer. Sie attackieren also einen Server, wollen aber eigentlich einem anderen Ziel damit Schaden zufügen indem Sie vorgeben Sie seien das eigentliche Ziel. Die Antworten auf die zahlreichen Anfragen des Attackierers belasten nun nicht den Attackierer selbst, sondern DDoSsen das eigentliche Ziel.

IP-Spoofing
In Zusammenhang mit z.B. DRDoS Attacken wird häufig IP-Spoofing genutzt. Hierzu wird die eigene IP-Adresse „gespoofed“, sprich gefälscht, sodass sie nicht mehr direkt zurückverfolgbar ist.

Ransomware
Gehört zur Malware. Ist aber ein spezieller Schädling, der Dateien auf dem Opfersystem verschlüsselt und diese erst nach Zahlung eines bestimmten Betrages wieder entschlüsselt. Nach der Bezahlung löscht sich die Ransomware wieder vom Rechner.

Crimeware
Jegliche von Cyber Criminals entwickelten Schädlinge, die auf die Erzielung illegalen Profits deuten.

Phishing
Phishing ist jeglicher Versuch mit gefälschten Informationen -welche aber für den Benutzer täuschend echt aussehen- an Passwörter, Bankdaten, Adressen und alle anderen persönlichen Informationen zu gelangen. Hierzu nutzen Cyber Criminals z.B. E-Mails die angeblich von der Bank stammen und fordern Benutzer auf ihre PIN und ihre TANs einzugeben. Die angezeigte Seite ist aber wiederum nur eine Phishing Seite, die der Bankseite täuschend ähnlich sieht. Auch hier gibt es viele, viele Möglichkeiten. Angefangen über Bankseiten, über den Autohandel bis hin zu sozialen Netzwerken und gefälschten Loginseiten von E-Mail Anbietern. Auch SMS Phishing mit angeblichen Abos, die man auf einer Webseite wieder abbestellen muss sind bereits bekannt. SMS Phishing allerdings ist in Europa erst noch „im Kommen“, in den USA z.B. aber durchaus üblich. Spear-Phishing ist eine Unterart des klassischen Phishings, welches gezielt auf bestimmte Bereiche abzielt. Beim Spear-Phishing schreibt der Cyber Criminal z.B. einen bestimmten Personenkreis gezielt mit einer bestimmten Phishing-Mail an, da er weiß, dass diese einen bestimmten Dienst oder eine Bank benutzen.

Pharming
Spezielle Methode Opfer gezielt auf betrügerische Seiten zu lenken. Hierzu werden Opferrechner mit Malware infiziert und danach umgeleitet. Beispielsweise will das Opfer die Onlinebanking Seite der Postbank surfen, umgeleitet wird er jedoch auf eine täuschend echte Phishing Seite. Meist bemerken die Opfer dies gar nicht.

Drive-by-Pharming
Internetrouter mit Sicherheitslücken und/oder sog. default (Standardmäßig eingerichtet und nicht veränderte) Passwörtern können von Cyber Criminals so manipuliert werden, dass Anfragen vom lokalen Browser des Opfers auf schädliche Seiten umgeleitet werden (Siehe „Pharming“).

URL-Spoofing
Eine Spoofing Methode die zur Familie des Content Spoofing gehört. Sichtbar oder unsichtbar wir dem Opfer vorgegaukelt, es befinde sich auf der Seite die es eigentlich ansteuern wollte. Im Endeffekt befindet es sich aber auf der Seite des Betrügers und wird entweder „abgephisht“ (siehe Phishing) und/oder infiziert (siehe Drive-by-Download).

Vishing
Voice Phishing bedient sich manuellen oder automatischen Anrufen bei Opfern um an deren Zugangsdaten / persönliche Informationen zu gelangen. Bei Voice Phishing kann der Anrufer auch unter einem bestimmten Vorwand gebeten werden, bestimmte Webseiten anzusurfen um dann dort infiziert zu werden.

Keylogger
Ein Keylogger speichert und leitet Tastenanschläge des Opfers an den Cyber Criminal weiter. Hier unterscheidet man zwischen Hardware- (z.B. über USB) und Software-Keyloggern. Sie dienen beide dem selben Zweck, jedoch wird der Software-Keylogger entweder von einem trojanischen Pferd einzeln eingeschleust oder ist Teil einer größeren Zusammenstellung von Malware, die heutzutage vielerlei Komponenten enthält. Moderne Keylogger machen auch regelmäßige Screenshots von infizierten Systemen und übersenden diese ihrem Meister.

Bootkit
Schädliche Software, die sich vor den Bootvorgang des Betriebssystems im sog. Master Boot Record (MBR) einklinkt.

Logikbombe
Schädliche Software oder schädliche Programmteile die beim Eintreten eines bestimmten Faktors ausgelöst werden, z.B. bei Erreichung eines bestimmten Datums o.ä. Dem Nutzer sind die Konsquenzen und die Tatsache dass es überhaupt passiert beim Eintreten dieser Gegebenheit vorher völlig unbekannt gewesen.

Dekomprimierungsbombe
Moderne Virenscanner erkennen Dekomprimierungsbomben sehr zuverlässig. Kurz erklärt handelt es sich hier um ein sehr kleines Archiv, dasss mein Entpacken so groß wird, dass das System entweder abstürzt oder die Festplatte voll wird.

Downloader
Generell ist ein Downloader nichts schädliches. Bringt man diesen Begriff jedoch in die Malware-Welt mit ein, so bedeutet es, dass die eigentliche Malware Dateien aktiv herunterlädt und für sich verwendet. Hier werden Komponenten nachgeladen, Dateien aktualisiert etc.

Exploit
Ein Exploit ist eine Sicherheitslücke in einem System, welche vom Angreifer ausgenutzt werden kann. Häufig wird der Begriff in zusammenhang mit Sicherheitslücken in Content Management Systemen, Browsern oder Betriebssystemen verwendet. Aber auch Anwendungen wie Flash, Java, PDF-Reader u.v.m. können logischerweise Exploits enthalten.

Podslurping
Hierbei nutzt der Angreifer einen mobilen Datenträger (USB-Stick o.ä.) mit einer vorinstallierten Software, welche beim Einstecken in den Zielrechner automatisch Daten auf den Stick herunterlädt und speichert.

Snarfing
Beim Snarfing werden Geräte in drahtlosen Netzwerken (besonders beliebt bei HotSpots) angegriffen. Hier kann eine aktive Manipulation, Datendiebstahl o.ä. stattfinden. Die Anfänge von Snarfing fanden im Bereich des Bluetooth Geräte statt. Hier nennt man dies „Bluesnarfing“. Nicht zu verwechseln ist das Bluesnarfing mit dem harmlosen Bluejacking, hier werden nur Textnachrichten an Bluetooth Geräte übermittelt.

Stealer
Sind Malware die Zugangsdaten klauen. Bei Anti-Viren Programmen wird der Begriff Stealer für Malware verwendet, die z.B. Daten zu Online Portalen oder Online Spielen (z.B. World of Warcraft) klauen.

Spam
Alle Nachrichten oder Meldungen, die sie unerwünscht empfangen können als Spam bezeichnet werden.

An dieser Stelle beende ich den ersten Teil des „kleinen 1×1 der Abuse Fachbegriffe“ und freue mich darauf Ihnen in Kürze den zweiten (und vielleicht auch dritten Teil) präsentieren zu dürfen.

3 responses so far

Schreibe einen Kommentar

Blogverzeichnis Blogverzeichnis - Blog Verzeichnis bloggerei.de Blog Top Liste - by TopBlogs.de Webkatalog und Blogverzeichnis Blog Verzeichnis