[Firewall] Jetico

Franz · 12.08.06, 11:35

Sodele,
jetzt kommen wir zu dem, weswegen eine Firewall ursprünglich entwickelt wurde - zu den verdächtigen Prozessen, die gerne Zugriff zu unseren Rechnern hätten.
Die Prozesse, die evtl. eingeschleust werden konnten, funktionieren immer nach eindeutigen Regeln, besser - nach eindeutigen Ereignissen, die sie zumindest als verdächtig einstufen..
Die 4 häufigsten Eigenschaften dieser Prozesse erkennt Jetico und kann entsprechend (nach Konfiguration) danach handeln. Malware (darunter fallen Trojaner, Würmer, Viren, Hijacker, FishingSites, bestimmte. Dialer, RootKits, und was da noch so kreucht und fleucht).
Jede dieser Anwendungen versucht mindestens einen der folgenden Prozesse:

• Installation und Starten einen versteckten (Web-) Browser
• Veränderung von Programmen
• Programmroutinen werden zum Starten von Prozessen verändert
• Installation von globalen "hooks"

Folgende Logmeldungen werden bei einem potentiellen Angriff ausgegeben:

- Attack type - verdächtiger Vorgang, Logmeldungen

Attacker installs system-wide Windows hook - Angreifer installiert einen systemweiten WindowsHook
Windows unterstützt den sog. Hook Mechanismus. Programme oder (Start-) Prozesse können eine Hook Funktion installieren, die Systemabläufe (wie z.B. Maus- und Tastenfunktionen) übernehmen, bevor das eigentliche Programm gestartet wird.
Der Krux hier ist, daß dieser Hook von einem anderen Programm als das Zielprogramm gestartet werden muß. Windows Hooks werden von fast allen legalen Programmen (z.B. auch Spiele) und genauso vielen Trojanern benutzt. Nur benutzt die Malware nicht Mausfunktionen o. ä., sondern gedenkt eher, damit Zugriff zum Netzwerk über den Hook zu bekommen. Sobald ein von einem Trojaner gesetzter Hook sich in eine .exe - Datei implementiert hat, ist es für den Benutzer ohne Zusatzsoftware nicht mehr möglich, festzustellen, ob er von einem Trojaner infiziert ist oder nicht.

Attacker starts application with hidden window
- Angreifer startet einen Prozess in einem versteckten Fenster

Trojaner können Programme der Trusted zone starten und über dieses Programm Zugriff zum Netzwerk beklommen. Mit einem versteckten Windowsfenster kann über z.B. den Browser mit dem Internet kommunizieren.
Die Firewall informiert den User über diese Ereignisse, doch sollte berücksichtigt werden, daß Jetico alle Events, also auch erlaubte, loggt.

Attacker writes to application's memory - Angreifer schreibt in den Arbeitsspeicher eines Programmes.

Trojaner besitzen auch die Fähigkeit sich in den zugewiesenen Speicher eines erlaubten Programms ein zu schreiben. Hier ersetzt die Malware verschiedene Einträge eines Prozesse durch seine eigenen. Sobald das Programm gestartet wird, startet auch der Trojaner, als das erlaubte Programm getarnt, mit seinen jetzt aktiven Funktionen.

Attacker injects own code into application - Angreifer schreibt eigenen Code in einen bereits installierten Prozess / Programm

Wenn ein Programm abläuft, läuft es mehreren sogenannten “threads” ab.
Ein thread ist am besten vergleichbar mit einem Faden aus verschiedenen Programmaufrufen, die nacheinander abgearbeitet werden. Jeder thread verarbeitet seine Funktionen, parallel mit anderen threads oder ausführenden Dateien, im und während des Ablaufs der Programmprozesses.
Windows erlaubt sog. remote threads, irgendein Prozeß/Programm kann einen thread erzeugen, der in einem (erlaubten) Programm bestimmte Funktionen ausführen kann. Windows erkennt nur, daß das erlaubte Programm die Quelle des threads ist, also zuständig für dessen Funktionen ist. Trojaner benutzen diesen Umstand um die eigentlichen Aktivitäten und Absichten zu verstecken.

Attacker modifies child process - Angreifer verändert einen Kind - Prozess

Ein Steuerelement eines (Eltern-) Programms startet sog. Kind-Prozesse, um u. a. obg. threads zu starten. Kind Prozesse sind sehr kurzlebig, d.h., sie existieren nur solange der Befehl ausgeführt wird (um den eigentlichen thread zu starten z.B.). Der Kind-Prozess „lebt“ nur im zugewiesenen Arbeitsspeicher. Ein Trojaner kann diesen Speicherplatz überschreiben. Beim nächsten Start des Kind-Prozesses wird nicht der eigentliche Prozess, sondern der Trojaner gestartet. Vorteil für den Trojaner: Ist das Programm nicht gestartet, wird es schwierig, auch mit Zusatzsoftware, den Trojaner ausfindig zu machen.

Low-level access to system memory - Zugriff auf den Systemspeicher

Trojaner können auch Windowseigene Systemprozesse übernehmen, indem Bestandteile des physikalischen Speichers verändert werden. Dadurch kann ein Trojaner jedes beliebige Programm installieren und ausführen. Windows er-laubt diese Zugriffe generell nicht, aber trotz der Sicherheit Windows ist das nach wie vor möglich (s.a. Windows Patchday). Sobald Jetico diese Art des Angriffs entdeckt (loggt), wurde definitiv ein Trojaner entdeckt.

Attacker - ein Programm erzeugt verdächtige aktivitäten/Abläufe - Application - ein Programm arbeitet nicht mehr ordnungsgemäß.
Einige Angriffe, z.B. eine hook - Installation, beeinflußt andere Programme. In diesem Fall kann die erteilte Regel für das Programm nicht mehr ausgeführt werden.
Zu guter Letzt noch ein kleiner Überblick über die FTP-, EMail- Server/Client Konfiguration bei Jetico.

Hier können alle Einstellungen, alle sicherheitsrelevante Konfigurationen komplett vorgenommen werden. Einen Umweg über die Trusted oder Blocked Zone ist nicht mehr notwendig.

Um nun eine neue Regel zu erstellen, gehen wir folgende Schritte durch:
1. Im Jetico Explorer wählen wir den Tab Configuration
2. markieren die gewünschte Liste auf der linken Seite, in der die neue Regel erstellt werden soll.
3. R-Click auf die markierte Liste -> Insert ins auswählen (oder im rechten Fenster mit R-Click -> New -> Auswahl der Regel
4. Regel erstellen und bestätigen

Ändern, Verschieben, Clonen. Löschen der Regel können wir dann auch anschließend über einen R-Click auf die Regel über den entsprechenden Befehl im Kontextmenü.

12.08.06, 11:35	#4 (Permalink)
Franz vormals arcanoa Moderator Registriert seit: 16.03.02 Beiträge: 3.803 Mein System	Sodele, jetzt kommen wir zu dem, weswegen eine Firewall ursprünglich entwickelt wurde - zu den verdächtigen Prozessen, die gerne Zugriff zu unseren Rechnern hätten. Die Prozesse, die evtl. eingeschleust werden konnten, funktionieren immer nach eindeutigen Regeln, besser - nach eindeutigen Ereignissen, die sie zumindest als verdächtig einstufen.. Die 4 häufigsten Eigenschaften dieser Prozesse erkennt Jetico und kann entsprechend (nach Konfiguration) danach handeln. Malware (darunter fallen Trojaner, Würmer, Viren, Hijacker, FishingSites, bestimmte. Dialer, RootKits, und was da noch so kreucht und fleucht). Jede dieser Anwendungen versucht mindestens einen der folgenden Prozesse: • Installation und Starten einen versteckten (Web-) Browser • Veränderung von Programmen • Programmroutinen werden zum Starten von Prozessen verändert • Installation von globalen "hooks" Folgende Logmeldungen werden bei einem potentiellen Angriff ausgegeben: - Attack type - verdächtiger Vorgang, Logmeldungen Attacker installs system-wide Windows hook - Angreifer installiert einen systemweiten WindowsHook Windows unterstützt den sog. Hook Mechanismus. Programme oder (Start-) Prozesse können eine Hook Funktion installieren, die Systemabläufe (wie z.B. Maus- und Tastenfunktionen) übernehmen, bevor das eigentliche Programm gestartet wird. Der Krux hier ist, daß dieser Hook von einem anderen Programm als das Zielprogramm gestartet werden muß. Windows Hooks werden von fast allen legalen Programmen (z.B. auch Spiele) und genauso vielen Trojanern benutzt. Nur benutzt die Malware nicht Mausfunktionen o. ä., sondern gedenkt eher, damit Zugriff zum Netzwerk über den Hook zu bekommen. Sobald ein von einem Trojaner gesetzter Hook sich in eine .exe - Datei implementiert hat, ist es für den Benutzer ohne Zusatzsoftware nicht mehr möglich, festzustellen, ob er von einem Trojaner infiziert ist oder nicht. Attacker starts application with hidden window - Angreifer startet einen Prozess in einem versteckten Fenster Trojaner können Programme der Trusted zone starten und über dieses Programm Zugriff zum Netzwerk beklommen. Mit einem versteckten Windowsfenster kann über z.B. den Browser mit dem Internet kommunizieren. Die Firewall informiert den User über diese Ereignisse, doch sollte berücksichtigt werden, daß Jetico alle Events, also auch erlaubte, loggt. Attacker writes to application's memory - Angreifer schreibt in den Arbeitsspeicher eines Programmes. Trojaner besitzen auch die Fähigkeit sich in den zugewiesenen Speicher eines erlaubten Programms ein zu schreiben. Hier ersetzt die Malware verschiedene Einträge eines Prozesse durch seine eigenen. Sobald das Programm gestartet wird, startet auch der Trojaner, als das erlaubte Programm getarnt, mit seinen jetzt aktiven Funktionen. Attacker injects own code into application - Angreifer schreibt eigenen Code in einen bereits installierten Prozess / Programm Wenn ein Programm abläuft, läuft es mehreren sogenannten “threads” ab. Ein thread ist am besten vergleichbar mit einem Faden aus verschiedenen Programmaufrufen, die nacheinander abgearbeitet werden. Jeder thread verarbeitet seine Funktionen, parallel mit anderen threads oder ausführenden Dateien, im und während des Ablaufs der Programmprozesses. Windows erlaubt sog. remote threads, irgendein Prozeß/Programm kann einen thread erzeugen, der in einem (erlaubten) Programm bestimmte Funktionen ausführen kann. Windows erkennt nur, daß das erlaubte Programm die Quelle des threads ist, also zuständig für dessen Funktionen ist. Trojaner benutzen diesen Umstand um die eigentlichen Aktivitäten und Absichten zu verstecken. Attacker modifies child process - Angreifer verändert einen Kind - Prozess Ein Steuerelement eines (Eltern-) Programms startet sog. Kind-Prozesse, um u. a. obg. threads zu starten. Kind Prozesse sind sehr kurzlebig, d.h., sie existieren nur solange der Befehl ausgeführt wird (um den eigentlichen thread zu starten z.B.). Der Kind-Prozess „lebt“ nur im zugewiesenen Arbeitsspeicher. Ein Trojaner kann diesen Speicherplatz überschreiben. Beim nächsten Start des Kind-Prozesses wird nicht der eigentliche Prozess, sondern der Trojaner gestartet. Vorteil für den Trojaner: Ist das Programm nicht gestartet, wird es schwierig, auch mit Zusatzsoftware, den Trojaner ausfindig zu machen. Low-level access to system memory - Zugriff auf den Systemspeicher Trojaner können auch Windowseigene Systemprozesse übernehmen, indem Bestandteile des physikalischen Speichers verändert werden. Dadurch kann ein Trojaner jedes beliebige Programm installieren und ausführen. Windows er-laubt diese Zugriffe generell nicht, aber trotz der Sicherheit Windows ist das nach wie vor möglich (s.a. Windows Patchday). Sobald Jetico diese Art des Angriffs entdeckt (loggt), wurde definitiv ein Trojaner entdeckt. Attacker - ein Programm erzeugt verdächtige aktivitäten/Abläufe - Application - ein Programm arbeitet nicht mehr ordnungsgemäß. Einige Angriffe, z.B. eine hook - Installation, beeinflußt andere Programme. In diesem Fall kann die erteilte Regel für das Programm nicht mehr ausgeführt werden. Zu guter Letzt noch ein kleiner Überblick über die FTP-, EMail- Server/Client Konfiguration bei Jetico. Hier können alle Einstellungen, alle sicherheitsrelevante Konfigurationen komplett vorgenommen werden. Einen Umweg über die Trusted oder Blocked Zone ist nicht mehr notwendig. Um nun eine neue Regel zu erstellen, gehen wir folgende Schritte durch: 1. Im Jetico Explorer wählen wir den Tab Configuration 2. markieren die gewünschte Liste auf der linken Seite, in der die neue Regel erstellt werden soll. 3. R-Click auf die markierte Liste -> Insert ins auswählen (oder im rechten Fenster mit R-Click -> New -> Auswahl der Regel 4. Regel erstellen und bestätigen Ändern, Verschieben, Clonen. Löschen der Regel können wir dann auch anschließend über einen R-Click auf die Regel über den entsprechenden Befehl im Kontextmenü. Geändert von Franz (24.01.07 um 19:43 Uhr)